Навигация
Системное Администрирование Решения на открытых кодах Структура сети Компьютерные сети малых предприятий Сеть с централизованным управлением Управление с помощью групповых политик Организация почтового обслуживания Взаимодействие с глобальной сетью Безопасность Виртуализация Парядок настройки и определения неисправностей Средства управления системами Автоматизация установки программного обестичения Решение проблем с компьютером Разное
 
 
Избранное
Pathping. Traceroute на стероидах.
FreeNAS: создаём сетевое хранилище (NAS)
Iperf - утилита для тестирования пропускной способности сети.
Средство против «сетевой слепоты»
Преимущества и недостатки RAID 6
Дисковые массивы RAID
Надежнее, чем RAID 5
Унификация корпоративных коммуникаций
Exchange и SAN: не все так просто
Cisco против Meru
 
 
Безопасность - LM/NTLM-аутентификация
В целях обратной совместимости серверы поддерживают использовавшиеся ранее протоколы аутентификации. К сожалению, эти протоколы на сегодня не являются безопасными и позволяют злоумышленнику достаточно легко узнать пароли. Например, LM Hash при создании хэша пароля разбивает его на группы по 7 символов, в результате время подбора таких двух пар существенно меньше времени подбора 14-символьного пароля.

Поэтому целесообразно настроить сеть на использование только NTLM2-протокола аутентификации. Для этого недостаточно просто включить NTLM2-аутентификацию, следует отключить все возможности использования старых методов.

Переводя домен на использование только NTLM2-аутентификации, следует убедиться, что на всех клиентских системах установлены обновления, позволяющие использовать этот протокол. NTLM2 поддерживается для Windows NT 4.0 после установки SP4. Для систем с Windows 9x необходимо инсталлировать клиента службы каталогов с установочного диска Windows 2000.

По умолчанию используется вариант шифрования с ключом длиной 56 байт. Чтобы использовать стойкий вариант шифрования на старых системах, необходимо установить MS Internet Explorer 4 или более позднюю версию и дополнить ее поддержкой 128-битного шифрования.

После установки необходимых обновлений следует настроить параметры домена. Во-первых, установить требование использования данного протокола в групповой политике (Windows Settings | Security Settings | Security Options | параметры Network Security).

Во-вторых, поскольку групповая политика не применяется к клиентам с предыдущими версиями Windows, то следует вручную настроить реестры каждого такого компьютера. Для этого необходимо в раздел HKLM\system\CurrentControlSet\Control Добавить параметр LMCompatibility:REG_DWORD. Его значение следует установить равным З1 (использовать только NTLM2-аутентификацию).

В-третьих, в политике контроллеров домена следует запретить сохранение NTLM-хэшей, поскольку наличие такого хэша предоставляет злоумышленнику великолепную возможность расшифровки пароля пользователя при наличии доступа к контроллеру домена.

После перевода клиентских систем на использование только NTLM2-аутентификации следует обязательно проверить функционирование всех используемых программ, поскольку в условиях реального предприятия часть старых программ может потребовать сохранения возможности использования LM-аутентификации. И только тогда, когда вы убедитесь в работоспособности системы, установите для контроллеров домена отказ в обработке LM/NTLM-запросов (определяется параметрами групповой политики).


 
 
 
 
Поиск по сайту
Google Поиск


Яндекс поиск
 
 
Полезное
 
 
 
 
 
systemzone.ru 2014