Compartilhar via


Desabilitar a configuração AllowNT4Crypto em todos os controladores de domínio afetados

Por que Considerar isso

Utilizar algoritmos de criptografia NT4 antigos pode ser um sério risco de segurança, e pode ser um sinal de que, dentro do ambiente, hardwares ou softwares muito antigos ainda estão sendo usados (como NT4 ou clientes SAMBA SMB mais antigos). Além disso, todos os sistemas operacionais atualmente suportados não consideram mais essa configuração.

Assista à explicação de um Engenheiro de Clientes sobre o problema

Contexto e Práticas Recomendadas

Por padrão, o Windows Server 2008 ou superior proíbe que os clientes que executam sistemas operacionais que não sejam da Microsoft, ou sistemas operacionais Windows NT 4.0, estabeleçam canais seguros usando o algoritmo de criptografia fraco do padrão do Windows NT 4.0. Qualquer operação dependente do canal de segurança iniciada por clientes que executam versões mais antigas do sistema operacional Windows ou que execute sistemas operacionais que não sejam da Microsoft e que não suportem algoritmos de criptografia fortes falhará perante um controlador de domínio que execute o Windows Server 2008, o Windows Server 2008 R2 ou o Windows Server 2012 com configurações padrão.

O Windows Server 2008 R2 e versões posteriores não oferecem suporte a relações de confiança com o Windows NT 4.0, nem mesmo ao usar a configuração NT4Crypto. Essa limitação inclui, mas não está limitada às seguintes operações de canal seguro: -Estabelecer e manter relações de confiança - Associação de domínio -Autenticação de domínio - Sessões SMB

Ações sugeridas

Para resolver esse problema, execute uma das seguintes ações:

  1. Desabilite a configuração AllowNTCrypto no registro.
    1. Faça logon nos controladores de domínio afetados.
    2. Clique em Iniciar, clique em Executar, tipo regedit.exe e clique em OK.
    3. No Editor do Registro, navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      Parâmetros
      .
    4. Altere o valor de AllowNT4Crypto para 0.
    5. Repita essas etapas para cada controlador de domínio afetado.
  2. Desabilite a configuração AllowNTCrypto no GPO de Diretiva de Controladores de Domínio Padrão.
    1. Faça logon em um controlador de domínio baseado no Windows Server 2008.
    2. Clique em Iniciar, clique em Executar, digite gpmc.msc e clique em OK.
    3. No console Gerenciamento de Política de Grupo, expanda Floresta: DomainName, expanda Domínios, expanda DomainName e expanda Controladores de Domínio.
    4. Clique com o botão direito do mouse em Política de controladores de domínio padrão e clique em Editar.
    5. No console do Editor de Gerenciamento de Política de Grupo, expanda Configuração do Computador, expanda Políticas, expanda Modelos Administrativos e expanda Sistema.
    6. Clique em Logon de Rede.
    7. Clique duas vezes em Permitir algoritmos de criptografia compatíveis com o Windows NT 4.0.
    8. Na caixa de diálogo, clique na opção Desabilitado e clique em OK.

Saiba Mais

Para obter mais informações sobre esse comportamento, consulte O serviço Logon de Rede em controladores de domínio do Windows Server 2008 e do Windows Server 2008 R2 não permite o uso de algoritmos de criptografia mais antigos compatíveis com o Windows NT 4.0 por padrão em https://support.microsoft.com/kb/942564

Para obter mais informações sobre como modificar o GPO relevante, consulte Modificar políticas de segurança na política de controladores de domínio padrão em https://technet.microsoft.com/library/cc731654.aspx.