Bagikan melalui

Nonaktifkan pengaturan AllowNT4Crypto pada semua pengendali domain yang terpengaruh

  • Artikel

Mengapa Pertimbangkan ini

Mengizinkan algoritma kriptografi NT4 lama bisa menjadi risiko keamanan yang serius, dan bisa menjadi sinyal bahwa di lingkungan mungkin masih ada perangkat keras atau perangkat lunak yang sangat tua dan tidak aman yang digunakan (seperti klien SMB SAMBA NT4 atau yang lebih lama).. Selain itu, semua OS yang saat ini didukung bahkan tidak menghormati pengaturan ini lagi.

Tonton Teknisi Pelanggan yang menjelaskan masalahnya

Praktik Terbaik & Konteks

Secara default, Windows Server 2008 atau yang lebih baru melarang klien yang menjalankan sistem operasi non-Microsoft atau sistem operasi Windows NT 4.0 untuk membangun saluran aman menggunakan algoritma kriptografi bergaya Windows NT 4.0 yang lemah. Setiap operasi yang bergantung pada saluran keamanan yang dimulai oleh klien yang menjalankan versi lama sistem operasi Windows atau menjalankan sistem operasi non-Microsoft yang tidak mendukung algoritma kriptografi yang kuat akan gagal terhadap pengendali domain yang menjalankan Windows Server 2008, Windows Server 2008 R2 atau Windows Server 2012 dengan pengaturan default.

Windows Server 2008 R2 dan yang lebih baru tidak mendukung hubungan kepercayaan dengan Windows NT 4.0 bahkan saat menggunakan pengaturan NT4Crypto. Batasan ini termasuk tetapi tidak terbatas pada operasi saluran aman berikut: - Membangun dan memelihara hubungan kepercayaan - Gabungan Domain - Autentikasi domain - Sesi SMB

Tindakan yang Disarankan

Untuk mengatasi masalah ini, lakukan salah satu tindakan berikut:

  1. Nonaktifkan pengaturan AllowNTCrypto di registri.
    1. Masuk ke pengendali domain yang terpengaruh.
    2. Klik Mulai, klik Jalankan, ketik regedit.exe, lalu klik OK.
    3. Di Editor Registri navigasi ke HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      Parameter.
    4. Ubah nilai AllowNT4Crypto menjadi 0.
    5. Ulangi langkah-langkah ini untuk setiap pengendali domain yang terpengaruh.
  2. Nonaktifkan pengaturan AllowNTCrypto di GPO Kebijakan Pengendali Domain Default.
    1. Masuk ke pengendali domain berbasis Windows Server 2008.
    2. Klik Mulai, klik Jalankan, ketik gpmc.msc, lalu klik OK.
    3. Di konsol Kebijakan Grup Management, perluas Forest: DomainName, perluas Domain, perluas DomainName, lalu perluas Pengendali Domain.
    4. Klik kanan Kebijakan Pengendali Domain Default, lalu klik Edit.
    5. Di konsol Editor Manajemen Kebijakan Grup, perluas Konfigurasi Komputer, perluas Kebijakan, perluas Templat Administratif, lalu perluas Sistem.
    6. Klik Net Logon.
    7. Klik dua kali Perbolehkan algoritma kriptografi yang kompatibel dengan Windows NT 4.0.
    8. Dalam kotak dialog, klik opsi Dinonaktifkan , lalu klik OK.

Pelajari lebih lanjut

Untuk informasi selengkapnya tentang perilaku ini, lihat Layanan Net Logon pada Windows Server 2008 dan pada pengontrol domain Windows Server 2008 R2 tidak mengizinkan penggunaan algoritma kriptografi yang lebih lama yang kompatibel dengan Windows NT 4.0 secara default, di https://support.microsoft.com/kb/942564

Untuk informasi selengkapnya tentang memodifikasi GPO yang relevan, lihat Mengubah Kebijakan Keamanan dalam Kebijakan Pengendali Domain Default, di https://technet.microsoft.com/library/cc731654.aspx.