Windows Server 域控制器为名为“允许与Windows NT 4.0 兼容的加密算法”的安全设置提供了一个默认值。如果使用该默认值,将会在建立安全通道会话时禁止使用加密强度较弱的加密算法。
简介:
安装域控的警告提示:
Windows Server 2022 域控制器为名为“允许与Windows NT 4.0 兼容的加密算法”的安全设置提供了一个默认值。如果使用该默认值,将会在建立安全通道会话时禁止使用加密强度较弱的加密算法。
在所有受影响的域控制器上禁用 AllowNT4Crypto 设置 |Microsoft学习
允许旧的 NT4 加密算法可能会带来严重的安全风险,并且可能是一个信号,表明环境中可能仍在使用非常陈旧且不安全的硬件或软件(如 NT4 或较旧的 SAMBA SMB 客户端)。此外,所有当前支持的操作系统甚至不再支持此设置。
背景和最佳实践
默认情况下,Windows Server 2008 或更高版本禁止运行非 Microsoft 操作系统或 Windows NT 4.0 操作系统的客户端使用弱 Windows NT 4.0 样式的加密算法建立安全通道。运行较旧版本的 Windows 操作系统或运行不支持强加密算法的非 Microsoft 操作系统的客户端启动的任何依赖于安全通道的操作都将在运行 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的域控制器上失败。
Windows Server 2008 R2 及更高版本不支持与 Windows NT 4.0 的信任关系,即使使用 NT4Crypto 设置也是如此。此限制包括但不限于以下安全通道操作: - 建立和维护信任关系 - 域加入 - 域身份验证 - SMB 会话
建议的操作
若要解决此问题,请执行下列操作之一:
- 在注册表中禁用 AllowNTCrypto 设置。
- 登录到受影响的域控制器。
- 单击“开始”,单击“运行”,键入 regedit.exe,然后单击“确定”。
- 在注册表编辑器中,导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
Parameters。 - 将 AllowNT4Crypto 的值更改为 0。
- 对每个受影响的域控制器重复这些步骤。
- 禁用默认域控制器策略 GPO 中的 AllowNTCrypto 设置。
- 登录到基于 Windows Server 2008 的域控制器。
- 单击“开始”,单击“运行”,键入 gpmc.msc,然后单击“确定”。
- 在组策略管理控制台中,依次展开“林:域名”、“域”、“域名”和“域控制器”。
- 右键单击“默认域控制器策略”,然后单击“编辑”。
- 在组策略管理编辑器控制台中,依次展开“计算机配置”、“策略”、“管理模板”和“系统”。
- 单击“网络登录”。
- 双击“允许与 Windows NT 4.0 兼容的加密算法”。
- 在对话框中,单击“已禁用”选项,然后单击“确定”。
我的操作
配置域控前修改注册表无效,安装域控后编辑域控的默认策略来禁用吧。
