在所有受影响的域控制器上禁用 AllowNT4Crypto 设置

简介：

安装域控有提示NT4兼容的算法。

在所有受影响的域控制器上禁用 AllowNT4Crypto 设置 |Microsoft学习

允许旧的 NT4 加密算法可能会带来严重的安全风险，并且可能是一个信号，表明环境中可能仍在使用非常陈旧且不安全的硬件或软件（如 NT4 或较旧的 SAMBA SMB 客户端）。此外，所有当前支持的操作系统甚至不再支持此设置。

背景和最佳实践

默认情况下，Windows Server 2008 或更高版本禁止运行非 Microsoft 操作系统或 Windows NT 4.0 操作系统的客户端使用弱 Windows NT 4.0 样式的加密算法建立安全通道。运行较旧版本的 Windows 操作系统或运行不支持强加密算法的非 Microsoft 操作系统的客户端启动的任何依赖于安全通道的操作都将在运行 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 的域控制器上失败。

Windows Server 2008 R2 及更高版本不支持与 Windows NT 4.0 的信任关系，即使使用 NT4Crypto 设置也是如此。此限制包括但不限于以下安全通道操作： - 建立和维护信任关系 - 域加入 - 域身份验证 - SMB 会话

建议的操作

若要解决此问题，请执行下列操作之一：

1. 在注册表中禁用 AllowNTCrypto 设置。
   1. 登录到受影响的域控制器。
   2. 单击“开始”，单击“运行”，键入 regedit.exe，然后单击“确定”。
   3. 在注册表编辑器中，导航到 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      Parameters。
   4. 将 AllowNT4Crypto 的值更改为 0。
   5. 对每个受影响的域控制器重复这些步骤。
2. 禁用默认域控制器策略 GPO 中的 AllowNTCrypto 设置。
1. 登录到基于 Windows Server 2008 的域控制器。
2. 单击“开始”，单击“运行”，键入 gpmc.msc，然后单击“确定”。
3. 在组策略管理控制台中，依次展开“林：域名”、“域”、“域名”和“域控制器”。
4. 右键单击“默认域控制器策略”，然后单击“编辑”。
5. 在组策略管理编辑器控制台中，依次展开“计算机配置”、“策略”、“管理模板”和“系统”。
6. 单击“网络登录”。
7. 双击“允许与 Windows NT 4.0 兼容的加密算法”。
8. 在对话框中，单击“已禁用”选项，然后单击“确定”。

我的操作

配置域控前修改注册表无效，安装域控后编辑域控的默认策略来禁用吧。