Отключение настроек AllowNT4Crypto на всех затронутых контроллерах доменов

Почему это достойно внимания

Разрешение старых алгоритмов криптографии NT4 может создать серьезную угрозу безопасности и служить сигналом о том, что в вашей ИТ-среде все еще может использоваться очень старое и небезопасное оборудование или программное обеспечение (например, NT4 или более старые клиенты SAMBA SMB). Более того: ни одна поддерживаемая в настоящее время ОС уже даже не учитывает эту настройку.

Посмотрите, как инженер по работе с клиентами объясняет проблему

Контекст и рекомендации

По умолчанию Windows Server 2008 или более поздний запрещает клиентам, работающим с операционными системами, не относящимися к Microsoft, или операционными системами Windows NT 4.0, устанавливать безопасные каналы с использованием слабых криптографических алгоритмов в стиле Windows NT 4.0. Любая операция, зависящая от канала безопасности, которая инициируется клиентами, использующими устаревшие версии операционной системы Windows или работающими с операционными системами не от Майкрософт, не поддерживающими надежные криптографические алгоритмы, приведет к сбою из-за контроллера домена под управлением Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012 с настройками по умолчанию.

Windows Server 2008 R2 и более поздние версии не поддерживают отношения доверия с Windows NT 4.0 даже при использовании настройки NT4Crypto. Это ограничение включает в себя, но не ограничивается этим, следующие операции канала безопасности: — Создание и поддержание отношений доверия — Присоединение к домену — Проверка подлинности домена — SMB-сеансы

Рекомендуемые действия

Для решения этой проблемы выполните одно из следующих действий:

1. Отключите настройку AllowNTCrypto в реестре.
   1. Войдите в затронутые контроллеры доменов.
   2. Нажмите Пуск , затем Выполнить , введите regedit.exe , а затем нажмите OK.
   3. В редакторе реестра перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\ Parameters.
   4. Измените значение AllowNT4Crypto на 0.
   5. Повторите эти действия для каждого пострадавшего контроллера домена.
2. Отключите настройки AllowNTCrypto в GPO политик контроллеров домена по умолчанию.
   1. Зайдите в контроллер домена на базе Windows Server 2008.
   2. Нажмите Пуск , затем Выполнить , введите gpmc.msc , а затем нажмите OK.
   3. В консоли управления групповыми политиками раскройте Лес: DomainName , затем Домены , затем DomainName , а затем Контроллеры домена.
   4. Нажмите правой кнопкой мыши Политика контроллеров доменов , а затем нажмите Изменить.
   5. В консоли управление групповыми политиками раскройте Конфигурация компьютера , затем Политики , затем Административные шаблоны , а затем Система.
   6. Нажмите Сетевой вход в систему.
   7. Дважды щелкните Разрешать алгоритмы шифрования, совместимые с Windows NT 4.0.
   8. В диалоговом поле нажмите Отключено , а затем нажмите OK.

Подробнее

Подробнее об этом поведении читайте в Служба сетевого входа в систему на Windows Server 2008 и на контроллерах доменов Windows Server 2008 R2 не позволяет использовать старые криптографические алгоритмы, совместимые с Windows NT 4.0 по умолчанию в https://support.microsoft.com/kb/942564

Для получения дополнительной информации об изменении соответствующего GPO см. Изменение политик безопасности в политике контроллеров доменов по умолчанию в https://technet.microsoft.com/library/cc731654.aspx.

Чтобы оставить отзыв по Services Hub или содержимому в целом, отправьте свой отклик через UserVoice. По конкретным запросам и обновлениям контента, касающимся Services Hub, пожалуйста, свяжитесь в нашей командой поддержки, чтобы отправить обращение.

Центр загрузки

КриптоПро CSP 4.0

КриптоПро CSP 5.0

Rutoken для ЕГАИС

Версия: v.4.7.0.1 от 04.04.2019

MS Windows 8.1/2012 R2/8/2012/7/2008/Vista/2003/XP

Программа TeamViewer teamviewer.com

необходима при удаленной настройки компьютера

Программа Ammy admin сайт ammyy.com/ru/

необходима при удаленной настройки компьютера

Таблица поддерживаемых операционных систем:

Контактные лица:

В Энгельсе

Мария Серова

тел.: +7 (8453) 768-574, 759-202

В Саратове

Юлия Ким

тел.: +7 (8452) 324-524, 349-499

413100, Саратовская обл., г. Энгельс, пл. Свободы, 20, оф. 201
410012, Саратовская обл., г. Саратов, ул. Большая Казачья, д. 49/65, оф. 404

Поддерживаемые операционные системы Windows

Дистрибутив	Загрузка файла

CSP 3.6	CSP 3.9	CSP 4.0	CSP 5.0
Windows Server 2019	x64
Windows Server 2016	x64*	x64**	x64
Windows 10	x86 / x64*	x86 / x64**	x86 / x64
Windows Server 2012 R2	x64	x64	x64
Windows 8.1	x86 / x64	x86 / x64	x86 / x64
Windows Server 2012	x64	x64	x64	x64
Windows 8	x86 / x64	x86 / x64	x86 / x64	x86 / x64
Windows Server 2008 R2	x64 / itanium	x64	x64	x64
Windows 7	x86 / x64	x86 / x64	x86 / x64	x86 / x64
Windows Server 2008	x86 / x64 / itanium	x86 / x64	x86 / x64	x86 / x64
Windows Vista	x86 / x64	x86 / x64
Windows Server 2003 R2	x86 / x64 / itanium	x86 / x64	x86 / x64	x86 / x64
Windows Server 2003	x86 / x64 / itanium	x86 / x64	x86 / x64	x86 / x64
Windows XP	x86 / x64
Windows 2000	x86

* Начиная с версии КриптоПро CSP 3.9 R2.

** Начиная с версии КриптоПро CSP 4.0 R2.

Поддерживаемые UNIX-подобные операционные системы

CSP 3.6	CSP 3.9	CSP 4.0	CSP 5.0
iOS 13 / 14	ARM64******
iOS 12	ARM64*****	ARM64
iOS 11	ARM64***	ARM64
iOS 10	ARM32** / ARM64**	ARM32*** / ARM64***	ARM32 / ARM64
iOS 9	ARM32** / ARM64**	ARM32 / ARM64	ARM32 / ARM64
iOS 8	ARM32 / ARM64**	ARM32 / ARM64	ARM32 / ARM64
iOS 6 / 7	ARM32	ARM32
iOS 4.2 / 4.3 / 5	ARM32
macOS 11	ARM64 / x64******
macOS 10.15	x64******
macOS 10.14	x64*****	x64
macOS 10.13	x64*****	x64
macOS 10.12	x64**	x64***	x64
macOS 10.11	x64**	x64	x64
macOS 10.10	x64**	x64	x64
macOS 10.9	x64	x64	x64
macOS 10.8	x64	x64
macOS 10.7	x64	x64
macOS 10.6	x86 / x64	x86 / x64
Android 7+	ARM32 / ARM64
ОС «Аврора»	ARM32******
SailfishOS 2 / 3	ARM32*****	ARM32
Solaris 10 / 11	x86 / x64 / sparc	x86 / x64 / sparc	x86 / x64 / sparc	x86 / x64 / sparc
Solaris 9	x86 / x64 / sparc
AIX 5 / 6 / 7	PowerPC	PowerPC	PowerPC	PowerPC
FreeBSD 12	x86 / x64
FreeBSD 11	x86 / x64***	x86 / x64
FreeBSD 10	x86 / x64	x86 / x64	x86 / x64
FreeBSD 8 / 9	x86 / x64	x86 / x64	x86 / x64	x86 / x64
FreeBSD 7	x86 / x64
FreeBSD 6	x86*
LSB 4.0	x86 / x64	x86 / x64	x86 / x64	x86 / x64
LSB 3.0 / LSB 3.1	x86 / x64
RHEL 8	x64******
RHEL 7	x64**	x64	x64
RHEL 5 / 6	x86 / x64	x86 / x64	x86 / x64	x86 / x64
RHEL 4	x86 / x64	x86 / x64	x86 / x64
RHEL 3.3 спец.сборка	x86	x86	x86	x86
CentOS 8	x64******
CentOS 7	x86 / x64**	x86 / x64	x86 / x64
CentOS 5 / 6	x86 / x64	x86 / x64	x86 / x64	x86 / x64
CentOS 4	x86 / x64	x86 / x64
Ubuntu 19.10 / 20.04	x64******
Ubuntu 18.04 / 18.10	x86 / x64*****	x86 / x64
Ubuntu 15.10 / 16.04 / 16.10	x86 / x64**	x86 / x64***	x86 / x64
Ubuntu 14.04	x86 / x64**	x86 / x64	x86 / x64
Ubuntu 12.04 / 12.10 / 13.04	x86 / x64	x86 / x64
Ubuntu 10.10 / 11.04 / 11.10	x86 / x64	x86 / x64
Ubuntu 10.04	x86 / x64	x86 / x64
Ubuntu 8.04	x86 / x64
Ubuntu 6.04	x86 / x64*
Linux Mint 19	x86 / x64*****	x86 / x64
Linux Mint 18	x86 / x64**	x86 / x64***	x86 / x64
Linux Mint 13 / 14 / 15 / 16 / 17	x86 / x64**	x86 / x64	x86 / x64
AlterOS	x64*****	x86 / x64
Astra Linux	x86 / x64**	x86 / x64*** / MIPS***** / Эльбрус*****	x86 / x64 / MIPS / Эльбрус / ARM64******
Альт Сервер 9 Альт Рабочая станция 9 Альт Образование 9	x86 / x64 / ARM64 / MIPS / Эльбрус******
Альт Сервер 8 Альт Рабочая станция 8 Альт Рабочая станция К 8	x86 / x64****	x86 / x64
Альт 8 СП Сервер Альт 8 СП Рабочая станция	x86 / x64*****	x86 / x64
Альт Линукс СПТ 7	x86 / x64	x86 / x64	x86 / x64
ALTLinux 6	x86 / x64	x86 / x64	x86 / x64	x86 / x64
ALTLinux 4 / 5	x86 / x64
Debian 10	x86 / х64 / ARM / ARM64 / MIPS
Debian 9	x86 / х64 / POWER / ARM / ARM64 / MIPS ***	x86 / х64 / POWER / ARM / ARM64 / MIPS
Debian 8	x86 / x64**	x86 / х64 / POWER / ARM / MIPS	x86 / х64 / POWER / ARM / ARM64 / MIPS
Debian 7	x86 / x64	x86 / х64 / POWER / ARM / MIPS	x86 / х64 / POWER / ARM / ARM64 / MIPS
Debian 6	x86 / x64	x86 / x64
Debian 4 / 5	x86 / x64*
РОСА ХРОМ / КОБАЛЬТ / НИКЕЛЬ	x86** / x64**	x86 / x64	x86 / x64
ОСь (OS RT)	x64	x64	x64
ТД ОС АИС ФССП России (GosLinux)	x86 / x64	x86 / x64	x86 / x64	x86 / x64
Linpus Lite 1.3	x86 / x64	x86 / x64	x86 / x64	x86 / x64
Mandriva Server 5, Business Server 1	x86 / x64	x86 / x64	x86 / x64	x86 / x64
Oracle Enterprise Linux 8	x64****** / ARM64******
Oracle Enterprise Linux 7	x86 / x64	x86 / x64	x86 / x64
Oracle Enterprise Linux 5 / 6	x86 / x64	x86 / x64	x86 / x64	x86 / x64
openSUSE Leap 42	x86 / x64	x86 / x64	x86 / x64
openSUSE 15	x86 / x64*****	x86 / x64
openSUSE 13	x86 / x64
openSUSE 12	x86 / x64
SUSE Linux Enterprise 12 / 15	x64*****	x64
SUSE Linux Enterprise 11	x86 / x64	x86 / x64	x86 / x64	x86 / x64
Red OS	x86 / x64	x86 / x64	x86 / x64
Синтез-ОС.РС	x86 / x64*****	x86 / x64
СинтезМ	x64*****	x64
СинтезМ-К	x64*****	x64
ОС Лотос	x86 / x64*****	x86 / x64
МСВСфера 6.3 сервер	x64*****	x64
Эльбрус версия 3	Эльбрус*****	Эльбрус

* До версии КриптоПро CSP 3.6 R1 (сборка 3.6.5402 от 2009-07-29) включительно.

** Начиная с версии КриптоПро CSP 3.9 R2.

*** Начиная с версии КриптоПро CSP 4.0 R2.

**** Начиная с версии КриптоПро CSP 4.0 R3.

***** Начиная с версии КриптоПро CSP 4.0 R4.

****** Начиная с версии КриптоПро CSP 5.0 R2.

Поддерживаемые алгоритмы

CSP 3.6	CSP 3.9	CSP 4.0	CSP 5.0
ГОСТ Р 34.10-2012 Создание подписи	512 / 1024 бит	512 / 1024 бит
ГОСТ Р 34.10-2012 Проверка подписи	512 / 1024 бит	512 / 1024 бит
ГОСТ Р 34.10-2001 Создание подписи	512 бит	512 бит	512 бит	512 бит**
ГОСТ Р 34.10-2001 Проверка подписи	512 бит	512 бит	512 бит	512 бит***
ГОСТ Р 34.10-94 Создание подписи	1024 бит*
ГОСТ Р 34.10-94 Проверка подписи	1024 бит*
ГОСТ Р 34.11-2012	256 / 512 бит	256 / 512 бит
ГОСТ Р 34.11-94	256 бит	256 бит	256 бит	256 бит
ГОСТ Р 34.12-2015	256 бит****
ГОСТ Р 34.13-2015	256 бит****
ГОСТ 28147-89	256 бит	256 бит	256 бит	256 бит

* До версии КриптоПро CSP 3.6 R2 (сборка 3.6.6497 от 2010-08-13) включительно.

** До 31 декабря 2019 года включительно.

*** До окончания действия сертификатов, содержащих указанный алгоритм ключа проверки электронной подписи.

**** Начиная с версии КриптоПро CSP 5.0 R2.

Поддерживаемые носители

В таблице указаны носители, продемонстрировавшие работоспособность с соответствующими версиями КриптоПро CSP.

• П — пассивный носитель — флеш-память с защитой PIN-ом от записи.
• А — активный носитель — неизвлекаемые ключи без защиты канала связи с носителем.
• ФКН — функциональный ключевой носитель — неизвлекаемые ключи с защитой канала связи с носителем.

Подробней о типах носителей — в нашем блоге.