Désactiver le paramètre AllowNT4Crypto sur tous les contrôleurs de domaine concernés
Pourquoi effectuer ces actions
L’utilisation d’anciens algorithmes de chiffrement NT4 peut constituer un risque de sécurité important et peut signaler que le matériel ou les logiciels non sécurisés dans l’environnement sont toujours très anciens et non sécurisés (comme NT4 ou des clients SAMBA SMB antérieurs). En outre, tous les systèmes d’exploitation actuellement pris en charge ne respectent plus ce paramètre.
Regardez un ingénieur client expliquer le problème
Contexte et meilleures pratiques
Par défaut, Windows Server 2008 ou ultérieur interdit aux clients exécutant des systèmes d'exploitation non Microsoft ou Windows NT 4.0 d'établir des canaux sécurisés à l'aide d'algorithmes de chiffrement faibles de style Windows NT 4.0. Toute opération dépendant de canaux de sécurité initiée par des clients exécutant des versions antérieures du système d’exploitation Windows ou des systèmes d’exploitation non-Microsoft qui ne prennent pas en charge des algorithmes de chiffrement forts va échouer sur un contrôleur de domaine qui exécute Windows Server 2008, Windows Server 2008 R2 ou Windows Server 2012 avec les paramètres par défaut.
Windows Server 2008 R2 et les versions ultérieures ne prennent pas en charge les relations d’approbation avec Windows NT 4.0, même en cas d’utilisation du paramètre NT4Crypto. Cette limitation inclut, sans toutefois s’y limiter, les opérations de canal sécurisé suivantes : - Établissement et maintenance de relations d’approbation - Jonction de domaine - Authentification de domaine - Sessions SMB
Actions suggérées
Pour résoudre ce problème, effectuez l’une des actions suivantes :
- Désactivez le paramètre AllowNTCrypto dans le Registre.
- Ouvrez une session sur les contrôleurs de domaine concernés.
- Cliquez sur Démarrer puis sur Exécuter, tapez regedit.exe, puis cliquez sur OK.
- Dans l’éditeur du Registre, accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
Paramètres. - Remplacez la valeur de AllowNT4Crypto par 0.
- Répétez ces étapes pour chaque contrôleur de domaine concerné.
- Désactivez le paramètre AllowNTCrypto dans l’objet de stratégie de groupe Contrôleurs de domaine par défaut.
- Connectez-vous à un contrôleur de domaine Windows Server 2008 :
- Cliquez sur Démarrer puis sur Exécuter, tapez gpmc.msc, puis cliquez sur OK.
- Dans la console de gestion des stratégies de groupe, développez Forêt : DomainName puis Domaines, développez ensuite DomainName puis Contrôleurs de domaine.
- Cliquez avec le bouton droit sur Stratégie des contrôleurs de domaine par défaut, puis cliquez sur Modifier.
- Dans la console Éditeur de gestion des stratégies de groupe, développez Configuration ordinateur puis Stratégies, et développez ensuite Modèles administratifs puis Système.
- Cliquez sur Net Logon.
- Double-cliquez sur Autoriser les algorithmes de chiffrement compatibles avec Windows NT 4.0.
- Dans la boîte de dialogue, cliquez sur l’option Désactivé, puis cliquez sur OK.
En savoir plus
Pour en savoir plus sur ce comportement, consultez l’article Le service Net Logon sur Windows Server 2008 et sur des contrôleurs de domaine Windows Server 2008 R2 n’autorise pas l’utilisation d’algorithmes de chiffrement plus anciens qui sont compatibles avec Windows NT 4.0 par défaut à l’adresse https://support.microsoft.com/kb/942564
Pour plus d’informations sur la modification de l’objet de stratégie de groupe correspondant, consultez l’article Modifier les stratégies de sécurité dans la stratégie des contrôleurs de domaine par défaut (en anglais uniquement) à l’adresse https://technet.microsoft.com/library/cc731654.aspx.