Systém Windows Server 2008 alebo novší štandardne zakazuje klientom s operačnými systémami iných ako Microsoft alebo operačnými systémami Windows NT 4.0 vytvárať zabezpečené kanály pomocou slabých kryptografických algoritmov v štýle Windows NT 4.0. Akákoľvek operácia závislá od bezpečnostného kanála, ktorá je iniciovaná klientmi so staršími verziami operačného systému Windows alebo s operačnými systémami iných výrobcov ako Microsoft, ktoré nepodporujú silné kryptografické algoritmy, zlyhá na radiči domény so systémom Windows Server 2008, Windows Server 2008 R2 alebo Windows Server 2012 s predvolenými nastaveniami. Windows Server 2008 R2 a novší nepodporujú vzťahy dôvery so systémom Windows NT 4.0 ani pri použití nastavenia NT4Crypto. Toto obmedzenie zahŕňa, ale nie je obmedzené na nasledujúce operácie zabezpečeného kanála: – Vytvorenie a udržiavanie dôveryhodných vzťahov – Pripojenie k doméne – Autentifikácia domény – Relácie SMB
Odporúčané nastavenia:
Vypnutie NF4Crypto v registroch operačného systému:
Set-Itemproperty -path 'HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\' -Name 'AllowNT4Crypto' -value '0'Nastavenie GPO policy:
- spustenie konzoly:
gpmc.msc
Na položku “Default Domain Controllers Policy” je potrebne kliknúť pravým tlačidlom a zvoliť možnosť edit
Položku “Allow cryptography algorithms compatible with Windows NT 4.0” je potrebné nastaviť na voľbu Disabled
Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry.
