1
Netzwerksicherheit NTLM - Frage
Frage zur Authentifizierung über NTLM
Hallo Leute,
da ich immer mal wieder mit NTLM in Berührung komme und hin und wieder Hinweise darauf
bekomme NTLMv2 zu verwenden in meiner etwas größeren Domäne. 5 DomänenController, 4 Standorte,
3 weitere Domäns per Trust verbunden etc... ( 400 Clients, 35 Server ... )
Folgende Frage zu :
http://technet.microsoft.com/de-de/library/cc738867(v=ws.10).aspx
a)
LM- und NTLM-Antworten senden: Clients verwenden die LM- und NTLM-Authentifizierung, niemals die NTLMv2-Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
b)
LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt): Clients verwenden die LM- und NTLM-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
Was bedeutet das genau für meine Domäne , wenn ich von a auf b umstelle. Ich will das aber liebend
gern vorher abgecheckt habe, bevor ich das in meiner Umgebung aktiv stelle ...
Es könnte größere Auswirkungen haben, die ich im Moment nicht einschätzen kann ...
Im Einsatz :
Clients :
Win98v2(nur Zugriff kein Domänenmitglied ),WinNT4.0(nur Zugriff kein Domänenmitglied ),
WinXPx32, WinXPx64, Win7x32, Win7x64
Server :
Win2003, Win2008, Win2008R2
Vielen Dank für fundierte Antworten.
da ich immer mal wieder mit NTLM in Berührung komme und hin und wieder Hinweise darauf
bekomme NTLMv2 zu verwenden in meiner etwas größeren Domäne. 5 DomänenController, 4 Standorte,
3 weitere Domäns per Trust verbunden etc... ( 400 Clients, 35 Server ... )
Folgende Frage zu :
http://technet.microsoft.com/de-de/library/cc738867(v=ws.10).aspx
a)
LM- und NTLM-Antworten senden: Clients verwenden die LM- und NTLM-Authentifizierung, niemals die NTLMv2-Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
b)
LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt): Clients verwenden die LM- und NTLM-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
Was bedeutet das genau für meine Domäne , wenn ich von a auf b umstelle. Ich will das aber liebend
gern vorher abgecheckt habe, bevor ich das in meiner Umgebung aktiv stelle ...
Es könnte größere Auswirkungen haben, die ich im Moment nicht einschätzen kann ...
Im Einsatz :
Clients :
Win98v2(nur Zugriff kein Domänenmitglied ),WinNT4.0(nur Zugriff kein Domänenmitglied ),
WinXPx32, WinXPx64, Win7x32, Win7x64
Server :
Win2003, Win2008, Win2008R2
Vielen Dank für fundierte Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 194437
Url: https://administrator.de/contentid/194437
Printed on: May 12, 2024 at 13:05 o'clock
1 Comment
Hallo,
kurz: es macht nichts und es bringt nichts (solange keine ungenannten Anwendungen mitmischen).
Die Erläuterung von Variante a) bzw. LmCompatibilityLevel 0 ist aus historischen Gründen missverständlich, denn seit Win 2000 SP3/SRP1 ist die Aushandlung von NTLMv2 Standard. Deine höheren Systeme verhalten sich unter beiden Einstellungen gleich. Ebenso ist die Aushandlung in beiden Varianten gleichermaßen angreifbar. Einen Sicherheitsgewinn würde erst Level 3 bringen, was für die Authentifizierung gegen ein Win98- bzw. NT4-System dessen Domänenmitgliedschaft erfordert. Für den umgekehrten Zugriff ist Level 3 einsetzbar.
Grüße
Richard
kurz: es macht nichts und es bringt nichts (solange keine ungenannten Anwendungen mitmischen).
Die Erläuterung von Variante a) bzw. LmCompatibilityLevel 0 ist aus historischen Gründen missverständlich, denn seit Win 2000 SP3/SRP1 ist die Aushandlung von NTLMv2 Standard. Deine höheren Systeme verhalten sich unter beiden Einstellungen gleich. Ebenso ist die Aushandlung in beiden Varianten gleichermaßen angreifbar. Einen Sicherheitsgewinn würde erst Level 3 bringen, was für die Authentifizierung gegen ein Win98- bzw. NT4-System dessen Domänenmitgliedschaft erfordert. Für den umgekehrten Zugriff ist Level 3 einsetzbar.
Grüße
Richard
