Was "Ende des Lebenszyklus" bedeuten kann

  • Article

Hallo, hier ist mal wieder Herbert.

Wir sehen derzeit, dass viele Kunden Windows 2008 R2 für die Rolle als Domänen Controller testen und teilweise auch schon im Einsatz haben. Dabei haben manche Kunden festgestellt, dass Windows NT 4.0 Domänen Controller keine Trustverbindung (Secure Channel) zu Windows 2008 R2 Domänen Controllern aufbauen können.

Der technische Grund dafür ist, dass die Verschlüsselung der Trustverbindung mit der NT 4.0 Methode mittlerweile in Real-Time angreifbar ist, deswegen haben wir Windows Server 2008 R2 so geändert, dass der "strong key" hart eingeschaltet wird.

Hinweise zum Parameter:
889030 Trust between a Windows NT domain and an Active Directory domain cannot be established or it does not work as expected
https://support.microsoft.com/default.aspx?scid=kb;EN-US;889030

Der Parameter "Secure channel: Require strong (Windows 2000 or later) session key" ist mit Windows Server 2008 R2 hard-coded auf "ENABLED" eingestellt. Dem entsprechend ist die Liste der unterstützten Systeme für Trusts angepasst worden: https://technet.microsoft.com/en-us/library/cc731404.aspx

Es handelt sich bei Windows NT 4.0 Systemen um Bereiche, die oft schon zur Migration oder zum Abschalten eingeplant sind, was aber im Plan des Kunden für nach der Umstellung der Domänen Controller auf Windows Server 2008 R2 geplant war.

Nun sieht es so aus als müsste die Reihenfolge umgedreht werden. Manche Kunden steigen Kunden auch direkt per Upgrade von Windows 2000 auf Windows Server 2008 R2 um. Hier gibt es dann auch die Alternative, Windows Server 2008 dazwischen zu schalten.

In Windows Server 2008 ist der "schwache" Schlüssel noch erlaubt bzw. konfigurierbar, stellt dort aber auch ein Sicherheitsrisiko dar. Deswegen empfehlen wir dringend, die oben genannte "Strong key" Richtlinie für alle Windows-Systeme zu setzen und zu aktivieren.

Weitere Probleme:

  • Windows NT 4.0 ist derzeit die wohl unsicherste Computer Plattform. Seit fast vier Jahren wurden Verwundbarkeiten nicht mehr behoben. Windows NT 4.0 ist jedoch noch so ähnlich zu den Nachfolgesystemen, dass Angriffe für spätere Windows-Versionen trotzdem funktionieren, unter anderem auch durch Win32/Conficker.

  • Auch für Verwundbarkeiten jenseits von Windows gibt es das Problem, dass die sicheren Versionen von Applikationen vom Hersteller nicht mehr für Windows NT 4.0 getestet werden und somit nicht eingesetzt werden können.

Es ist somit höchste Zeit, sich von den Windows NT 4.0 Systemen zu verabschieden. Auch wenn die Systeme derzeit noch laufen, sind sie eine Zeitbombe die immer lauter tickt.

Es zieht schon die nächste Wolke auf für die Freunde von Oldtimer-Systemen. Am 13. Juli 2010 geht Windows 2000 aus dem Support, es gibt also für Kunden ohne Support-Erweiterung im Juli zum letzten Mal Security Fixes. Ab dann gilt auch für Windows 2000 das erhöhte Risiko, bei Security-Problemen im Ausmaß von Conficker oder Änderungen an neuen Produkten im Regen zu stehen.

Ich empfehle also dringend, auch für diese Systeme jetzt die Ablösung einzuplanen. Ich wünsche dabei viel Erfolg!

Euer
Herbert