ปิดการตั้งค่า AllowNT4Crypto ในตัวควบคุมโดเมนที่ได้รับผลกระทบทั้งหมด

ทําไมจึงต้องพิจารณาสิ่งนี้

การอนุญาตอัลกอริทึมการเข้ารหัส NT4 เก่าอาจเป็นความเสี่ยงด้านความปลอดภัยที่ร้ายแรง และอาจเป็นสัญญาณว่าในสภาพแวดล้อมอาจมีการใช้ฮาร์ดแวร์หรือซอฟต์แวร์ที่เก่าและไม่ปลอดภัย (เช่น ไคลเอ็นต์ SAMBA SMB รุ่น NT4 หรือเก่ากว่า) ปัจจุบันระบบปฏิบัติการที่สนับสนุนทั้งหมดนี้ไม่ต้องเคารพการตั้งค่านี้อีกต่อไป

ดูวิศวกรลูกค้าที่อธิบายปัญหา

บริบทและแนวทางปฏิบัติที่ดีที่สุด

ตามค่าเริ่มต้น Windows Server 2008 หรือใหม่กว่าห้ามไคลเอ็นต์ที่ใช้ระบบปฏิบัติการที่ไม่ใช่ Microsoft หรือระบบปฏิบัติการ Windows NT 4.0 เพื่อสร้างช่องทางที่ปลอดภัยโดยใช้อัลกอริทึมการเข้ารหัสสไตล์ Windows NT 4.0 ที่อ่อนแอ การดําเนินการที่ขึ้นอยู่กับแชนเนลความปลอดภัยใด ๆ ที่เริ่มต้นใช้งานโดยไคลเอ็นต์ที่กําลังเรียกใช้ระบบปฏิบัติการ Windows รุ่นที่เก่ากว่า หรือเรียกใช้ระบบปฏิบัติการที่ไม่ใช่ของ Microsoft ที่ไม่สนับสนุนอัลกอริทึมเข้ารหัสลับที่แข็งแกร่งจะล้มเหลวกับตัวควบคุมโดเมนที่เรียกใช้ Windows Server 2008, Windows Server 2008 R2 หรือ Windows Server 2012 ด้วยการตั้งค่าเริ่มต้น

Windows Server 2008 R2 และรุ่นที่ใหม่กว่าไม่รองรับความน่าเชื่อถือของความสัมพันธ์กับ Windows NT 4.0 แม้ว่าคุณจะใช้การตั้งค่า NT4Crypto ก็ตาม ข้อจํากัดนี้รวมถึงแต่ไม่จํากัดเพียงการดําเนินการแชนเนลที่ปลอดภัยต่อไปนี้: - การสร้างและรักษาความสัมพันธ์ที่เชื่อถือได้ - Domain Join - โดเมนการรับรองความถูกต้อง - เซสชัน SMB

การดําเนินการที่แนะนํา

เมื่อต้องการแก้ไขปัญหานี้ ให้เรียกใช้ หนึ่งใน การดําเนินการต่อไปนี้:

1. ปิดการตั้งค่า AllowNTCrypto ในรีจิสทรี
   1. ล็อกออนไปยังตัวควบคุมโดเมนที่ได้รับผลกระทบ
   2. เลือก เริ่มต้น เลือก เรียกใช้ พิมพ์ regedit.exe จากนั้นเลือก ตกลง
   3. ในตัวแก้ไขรีจิสทรีไปที่ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      พารามิเตอร์
   4. เปลี่ยนค่าของ AllowNT4Crypto เป็น 0
   5. ทําซ้ําขั้นตอนเหล่านี้สําหรับแต่ละตัวควบคุมโดเมนที่ได้รับผลกระทบ
2. ปิดการตั้งค่า AllowNTCrypto ใน GPO นโยบายตัวควบคุมโดเมนเริ่มต้น
   1. เข้าสู่ระบบตัวควบคุมโดเมนที่ใช้ Windows Server 2008
   2. เลือก เริ่ม เลือก เรียกใช้ พิมพ์ gpmc.msc จากนั้นเลือก ตกลง
   3. ในคอนโซลการจัดการนโยบายกลุ่ม ให้ขยาย Forest: DomainName ขยาย Domains ขยาย DomainName จากนั้นขยาย Domain Controllers
   4. คลิกขวาที่ นโยบายตัวควบคุมโดเมนเริ่มต้น แล้วเลือก แก้ไข
   5. ในคอนโซลตัวแก้ไขการจัดการนโยบายกลุ่ม ขยายการกําหนดค่าคอมพิวเตอร์ ขยายนโยบาย ขยายเทมเพลตการดูแลระบบแล้วขยายระบบ
   6. เลือก Net Logon
   7. ดับเบิลคลิก อนุญาตอัลกอริทึมการเข้ารหัสที่สามารถเข้ากันได้กับ Windows NT 4.0
   8. ในกล่องโต้ตอบ เลือกปิดใช้งาน แล้ว เลือกตกลง

เรียนรู้เพิ่มเติม

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับลักษณะการทํางานนี้ ดู ที่ บริการ Net Logon บน Windows Server 2008 และบนตัวควบคุมโดเมน Windows Server 2008 R2 ไม่อนุญาตให้ใช้อัลกอริทึมการเข้ารหัสลับที่เก่ากว่าที่เข้ากันได้กับ Windows NT 4.0 ตามค่าเริ่มต้น ที่ https://support.microsoft.com/kb/942564

สําหรับข้อมูลเพิ่มเติมเกี่ยวกับการแก้ไข GPO ที่เกี่ยวข้อง ดูแก้ไขนโยบายการรักษาความปลอดภัยในนโยบายตัวควบคุมโดเมนเริ่มต้นที่https://technet.microsoft.com/library/cc731654.aspx