Was "Ende des Lebenszyklus" bedeuten kann
Hallo, hier ist mal wieder Herbert.
Wir sehen derzeit, dass viele Kunden Windows 2008 R2 für die Rolle als Domänen Controller testen und teilweise auch schon im Einsatz haben. Dabei haben manche Kunden festgestellt, dass Windows NT 4.0 Domänen Controller keine Trustverbindung (Secure Channel) zu Windows 2008 R2 Domänen Controllern aufbauen können.
Der technische Grund dafür ist, dass die Verschlüsselung der Trustverbindung mit der NT 4.0 Methode mittlerweile in Real-Time angreifbar ist, deswegen haben wir Windows Server 2008 R2 so geändert, dass der "strong key" hart eingeschaltet wird.
Hinweise zum Parameter:
889030 Trust between a Windows NT domain and an Active Directory domain cannot be established or it does not work as expected
https://support.microsoft.com/default.aspx?scid=kb;EN-US;889030
Der Parameter "Secure channel: Require strong (Windows 2000 or later) session key" ist mit Windows Server 2008 R2 hard-coded auf "ENABLED" eingestellt. Dem entsprechend ist die Liste der unterstützten Systeme für Trusts angepasst worden: https://technet.microsoft.com/en-us/library/cc731404.aspx
Es handelt sich bei Windows NT 4.0 Systemen um Bereiche, die oft schon zur Migration oder zum Abschalten eingeplant sind, was aber im Plan des Kunden für nach der Umstellung der Domänen Controller auf Windows Server 2008 R2 geplant war.
Nun sieht es so aus als müsste die Reihenfolge umgedreht werden. Manche Kunden steigen Kunden auch direkt per Upgrade von Windows 2000 auf Windows Server 2008 R2 um. Hier gibt es dann auch die Alternative, Windows Server 2008 dazwischen zu schalten.
In Windows Server 2008 ist der "schwache" Schlüssel noch erlaubt bzw. konfigurierbar, stellt dort aber auch ein Sicherheitsrisiko dar. Deswegen empfehlen wir dringend, die oben genannte "Strong key" Richtlinie für alle Windows-Systeme zu setzen und zu aktivieren.
Weitere Probleme:
Windows NT 4.0 ist derzeit die wohl unsicherste Computer Plattform. Seit fast vier Jahren wurden Verwundbarkeiten nicht mehr behoben. Windows NT 4.0 ist jedoch noch so ähnlich zu den Nachfolgesystemen, dass Angriffe für spätere Windows-Versionen trotzdem funktionieren, unter anderem auch durch Win32/Conficker.
Auch für Verwundbarkeiten jenseits von Windows gibt es das Problem, dass die sicheren Versionen von Applikationen vom Hersteller nicht mehr für Windows NT 4.0 getestet werden und somit nicht eingesetzt werden können.
Es ist somit höchste Zeit, sich von den Windows NT 4.0 Systemen zu verabschieden. Auch wenn die Systeme derzeit noch laufen, sind sie eine Zeitbombe die immer lauter tickt.
Es zieht schon die nächste Wolke auf für die Freunde von Oldtimer-Systemen. Am 13. Juli 2010 geht Windows 2000 aus dem Support, es gibt also für Kunden ohne Support-Erweiterung im Juli zum letzten Mal Security Fixes. Ab dann gilt auch für Windows 2000 das erhöhte Risiko, bei Security-Problemen im Ausmaß von Conficker oder Änderungen an neuen Produkten im Regen zu stehen.
Ich empfehle also dringend, auch für diese Systeme jetzt die Ablösung einzuplanen. Ich wünsche dabei viel Erfolg!
Euer
Herbert
Comments
Anonymous
January 01, 2003
Hallo Thorsten! Windows NT 4.0 ist weder als Domain Controller noch als Domain Member supportet. Selbst wenn das tatsächlich nur Trusts betrifft, so ist das nicht wirklich wichtig. Windows 2000, Windows XP Service Pack 2 und Windows Vista Service Pack 0 gesellen sich bald dazu. Windows NT 4.0 hat seit vier Jahren keine Security Updates mehr gesehen, ist aber von den meisten seit 2006 entdeckten Vulnerabilities betroffen. Das gleiche gilt ab 13. Juli für die anderen genannten Produkte. Wer da als IT Admin noch ruhig schlafen kann... Schöne Grüße Herbert MauererAnonymous
May 14, 2010
The comment has been removed