해당하는 모든 도메인 컨트롤러에서 AllowNT4Crypto 설정을 사용하지 않도록 설정
이 점을 고려해야하는 이유
이전 NT4 암호화 알고리즘을 허용하면 심각한 보안 위험이 될 수 있으며, 환경에서 여전히 매우 오래되고 안전하지 않은 하드웨어 또는 소프트웨어가 사용되고 있을 수 있다는 신호일 수 있습니다(예: NT4 또는 이전 SAMBA SMB 클라이언트). 게다가, 현재 지원되는 모든 OS는 더 이상이 이 설정을 사용하지 않습니다.
고객 엔지니어가 문제를 설명하는 것을 보세요
상황 배경 & 모범 사례
기본적으로 Windows Server 2008 이상에서는 Microsoft 이외의 운영 체제 또는 Windows NT 4.0 운영 체제를 실행하는 클라이언트가 약한 Windows NT 4.0 스타일 암호화 알고리즘을 사용하여 보안 채널을 설정하는 것을 금지합니다. 이전 버전의 Windows 운영 체제를 실행하거나 강력한 암호화 알고리즘을 지원하지 않는 비 Microsoft 운영 체제를 실행하는 클라이언트가 시작한 모든 보안 채널 종속 작업은 Windows Server 2008, Windows Server 2008 R2 또는 Windows Server 2012를 기본 설정으로 실행하는 도메인 컨트롤러에 대해 오류를 일으킵니다.
Windows Server 2008 R2 이상은 NT4Crypto 설정을 사용하는 경우에도 Windows NT 4.0과의 트러스트 관계를 지원하지 않습니다. 이러한 제한에는 다음과 같은 보안 채널 운영이 포함되나 이에 국한되지 않습니다: - 트러스트 관계 설정 및 유지 관리 - 도메인 가입 - 도메인 인증 - SMB 세션
권장 조치
이 문제를 해결하려면 다음 작업 중 하나를 수행하세요.
- 레지스트리에서 AllowNTCrypto 설정을 사용하지 않도록 설정합니다.
- 해당하는 도메인 컨트롤러에 로그온합니다.
- 시작, 실행을 차례로 클릭하고 regedit.exe를 입력한 다음 확인을 클릭합니다.
- 레지스트리 편집기에서 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\로 이동합니다.
매개 변수. - AllowNT4Crypto 값을 0으로 변경합니다.
- 해당하는 각 도메인 컨트롤러에 대해 이러한 단계를 반복합니다.
- 기본 도메인 컨트롤러 정책 GPO에서 AllowNTCrypto 설정을 사용하지 않도록 설정합니다.
- Windows Server 2008 기반 도메인 컨트롤러에 로그온합니다.
- 시작, 실행을 차례로 클릭하고 gpmc.msc를 입력한 다음 확인을 클릭합니다.
- 그룹 정책 관리 콘솔에서 Forest: DomainName, Domains, DomainName, Domain Controllers를 차례로 확장합니다.
- 기본 도메인 컨트롤러 정책을 마우스 오른쪽 버튼으로 클릭한 다음, 편집을 클릭합니다.
- 그룹 정책 관리 편집기 콘솔에서 컴퓨터 구성, 정책, 관리 템플릿, 시스템을 차례로 확장합니다.
- 넷 로그온을 클릭합니다.
- Windows NT 4.0과 호환되는 암호화 알고리즘 허용을 두 번 클릭합니다.
- 대화 상자에서 사용 안 함 옵션을 클릭하고 확인을 클릭합니다.
자세히 알아보기
이 문제에 대한 자세한 내용은 https://support.microsoft.com/kb/942564에서 Windows Server 2008 및 Windows Server 2008 R2 도메인 컨트롤러의 Net Logon 서비스는 기본적으로 Windows NT 4.0과 호환되는 이전 암호화 알고리즘의 사용을 허용하지 않음을 참조하세요.
관련 GPO 수정에 대한 자세한 내용은 https://technet.microsoft.com/library/cc731654.aspx에서 기본 도메인 컨트롤러 정책의 보안 정책 수정을 참조하세요.