Condividi tramite

Disabilitare l'impostazione AllowNT4Crypto su tutti i controller di dominio interessati

  • Articolo

Perché prenderlo in considerazione

Consentire i vecchi algoritmi di crittografia NT4 potrebbe essere un grave rischio per la sicurezza e potrebbe essere un segnale che nell'ambiente potrebbe essere presente un hardware o software molto vecchio e non sicuro (ad esempio NT4 o vecchi client SAMBA SMB). Inoltre, tutti i sistemi operativi attualmente supportati non rispettano più questa impostazione.

Guarda un Tecnico dei Clienti che spiega il problema

Contesto e Procedure Consigliate

Per impostazione predefinita, in Windows Server 2008 o versioni successive impedisce ai client che eseguono sistemi operativi non Microsoft o Windows NT 4.0 di stabilire canali sicuri utilizzando algoritmi di crittografia di stile Windows NT 4.0 deboli. Qualsiasi operazione dipendente dal canale di sicurezza avviata da client che eseguono versioni precedenti del sistema operativo Windows o che eseguono sistemi operativi non Microsoft che non supportano algoritmi di crittografia forti non riuscirà a fronte di un controller di dominio che esegue Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 con le impostazioni predefinite.

Windows Server 2008 R2 e le versioni successive non supportano relazioni di trust con Windows NT 4.0 anche quando si utilizza l'impostazione NT4Crypto. Questa limitazione include, pur non limitandosi ad esse, le seguenti operazioni del canale sicuro: - Istituire e mantenere relazioni di trust - Aggiunta a un dominio - Autenticazione dominio - Sessioni SMB

Azioni consigliate

Per risolvere il problema, eseguire una delle seguenti azioni:

  1. Disabilitare l'impostazione AllowNTCrypto nel registro di sistema.
    1. Accedere ai controller di dominio interessati.
    2. Fare clic su Start, poi Esegui, digitare regedit.exe, quindi fare clic su OK.
    3. Nell'editor del registro di sistema, andare a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\
      Parametri      .
    4. Modificare il valore di AllowNT4Crypto in 0.
    5. Ripetere questa procedura per ciascun controller di dominio interessato.
  2. Disabilitare l'impostazione AllowNTCrypto nell'oggetto Criteri di gruppo Criterio controller di dominio predefiniti.
    1. Accedere a un controller di dominio basato su Windows Server 2008.
    2. Fare clic su Start, poi Esegui, digitare gpmc.msc, quindi fare clic su OK.
    3. Nella console Gestione Criteri di gruppo espandere Foresta: NomeDominio, Domini, NomeDominio e quindi Controller di dominio.
    4. Fare clic con il pulsante destro su Criterio controller di dominio predefinito, poi fare clic su Modifica.
    5. Nella console dell'Editor Gestione Criteri di Gruppo, espandere Configurazione computer, poi Criteri, poi Modelli amministrativi, poi espandere Sistema.
    6. Fare clic su Accesso rete.
    7. Fare doppio clic su Consenti algoritmi di crittografia compatibili con Windows NT 4.0.
    8. Nella finestra di dialogo, fare clic sull'opzione Disabilitato, quindi fare clic su OK.

Ulteriori informazioni

Per ulteriori informazioni su questo comportamento, vedere Il servizio Accesso di Rete nei controller di dominio Windows Server 2008 e Windows Server 2008 R2 non consente l'utilizzo di algoritmi di crittografia meno recenti compatibili con Windows NT 4.0 per impostazione predefinita su https://support.microsoft.com/kb/942564

Per ulteriori informazioni sulla modifica degli Oggetti Criteri di Gruppo pertinenti, vedere Modificare i criteri di protezione nel criterio sul controller di dominio predefinito su https://technet.microsoft.com/library/cc731654.aspx.