Was "Ende des Lebenszyklus" bedeuten kann

Was "Ende des Lebenszyklus" bedeuten kann

  • Comments 2
  • Likes

Hallo, hier ist mal wieder Herbert.

Wir sehen derzeit, dass viele Kunden Windows 2008 R2 für die Rolle als Domänen Controller testen und teilweise auch schon im Einsatz haben. Dabei haben manche Kunden festgestellt, dass Windows NT 4.0 Domänen Controller keine Trustverbindung (Secure Channel) zu Windows 2008 R2 Domänen Controllern aufbauen können.

Der technische Grund dafür ist, dass die Verschlüsselung der Trustverbindung mit der NT 4.0 Methode mittlerweile in Real-Time angreifbar ist, deswegen haben wir Windows Server 2008 R2 so geändert, dass der "strong key" hart eingeschaltet wird.

Hinweise zum Parameter:
889030 Trust between a Windows NT domain and an Active Directory domain cannot be established or it does not work as expected
http://support.microsoft.com/default.aspx?scid=kb;EN-US;889030

Der Parameter "Secure channel: Require strong (Windows 2000 or later) session key" ist mit Windows Server 2008 R2 hard-coded auf "ENABLED" eingestellt. Dem entsprechend ist die Liste der unterstützten Systeme für Trusts angepasst worden: http://technet.microsoft.com/en-us/library/cc731404.aspx

Es handelt sich bei Windows NT 4.0 Systemen um Bereiche, die oft schon zur Migration oder zum Abschalten eingeplant sind, was aber im Plan des Kunden für nach der Umstellung der Domänen Controller auf Windows Server 2008 R2 geplant war.

Nun sieht es so aus als müsste die Reihenfolge umgedreht werden. Manche Kunden steigen Kunden auch direkt per Upgrade von Windows 2000 auf Windows Server 2008 R2 um. Hier gibt es dann auch die Alternative, Windows Server 2008 dazwischen zu schalten.

In Windows Server 2008 ist der "schwache" Schlüssel noch erlaubt bzw. konfigurierbar, stellt dort aber auch ein Sicherheitsrisiko dar. Deswegen empfehlen wir dringend, die oben genannte "Strong key" Richtlinie für alle Windows-Systeme zu setzen und zu aktivieren.

Weitere Probleme:

  • Windows NT 4.0 ist derzeit die wohl unsicherste Computer Plattform. Seit fast vier Jahren wurden Verwundbarkeiten nicht mehr behoben. Windows NT 4.0 ist jedoch noch so ähnlich zu den Nachfolgesystemen, dass Angriffe für spätere Windows-Versionen trotzdem funktionieren, unter anderem auch durch Win32/Conficker.

  • Auch für Verwundbarkeiten jenseits von Windows gibt es das Problem, dass die sicheren Versionen von Applikationen vom Hersteller nicht mehr für Windows NT 4.0 getestet werden und somit nicht eingesetzt werden können.

Es ist somit höchste Zeit, sich von den Windows NT 4.0 Systemen zu verabschieden. Auch wenn die Systeme derzeit noch laufen, sind sie eine Zeitbombe die immer lauter tickt.

Es zieht schon die nächste Wolke auf für die Freunde von Oldtimer-Systemen. Am 13. Juli 2010 geht Windows 2000 aus dem Support, es gibt also für Kunden ohne Support-Erweiterung im Juli zum letzten Mal Security Fixes. Ab dann gilt auch für Windows 2000 das erhöhte Risiko, bei Security-Problemen im Ausmaß von Conficker oder Änderungen an neuen Produkten im Regen zu stehen.

Ich empfehle also dringend, auch für diese Systeme jetzt die Ablösung einzuplanen. Ich wünsche dabei viel Erfolg!

Euer
Herbert

Comments
  • Hi,

    man liest das überall nur in Bezug auf Trusts mit NT4 Domänen. Wie sieht es mit NT4 Membern in meinem 2008 R2 AD aus?

    http://support.microsoft.com/kb/823659/en-us

    "Important A computer that is running Windows Server 2008 R2 or Windows 7 supports only strong keys when secure channels are used. This restriction prevents a trust between any Windows NT 4.0-based domain and any Windows Server 2008 R2-based domain. Additionally, this restriction blocks the Windows NT 4.0-based domain membership of computers that are running Windows 7 or Windows Server 2008 R2, and vice versa."

    hier verstehe ich: Secure channel nur high encryption und daher: keine trusts, keine R2 oder Win7 member in NT4 Domänen UND (vice versa) keine NT4 member in einer R2 Domäne.

    Die Lösung in Artikel http://support.microsoft.com/kb/942564/en-us hat als ausnahme für R2 lediglich die trusts, also müsste es ja für die anderen Szenarien funktionieren.

    Klar man kann es auf jedenfall leicht testen aber mir scheint es als ob sich die Artikel wiedersprechen bzw. man sie leicht missinterpretiert.

    Danke

     Thorsten

  • Hallo Thorsten!

    Windows NT 4.0 ist weder als Domain Controller noch als Domain Member supportet. Selbst wenn das tatsächlich nur Trusts betrifft, so ist das nicht wirklich wichtig.

    Windows 2000, Windows XP Service Pack 2 und Windows Vista Service Pack 0 gesellen sich bald dazu.

    Windows NT 4.0 hat seit vier Jahren keine Security Updates mehr gesehen, ist aber von den meisten seit 2006 entdeckten Vulnerabilities betroffen.

    Das gleiche gilt ab 13. Juli für die anderen genannten Produkte. Wer da als IT Admin noch ruhig schlafen kann...

    Schöne Grüße

    Herbert Mauerer

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment