NTLM v1認証がWindowsで受け入れられないようにする方法VM環境?
私のシナリオは、NTLMv1攻撃に対して脆弱であることが検出されたWindows認証を使用してWindows Server 2012 R2 StandardでIISを介してWebサイトをセットアップしているため、これを無効にして許可することですNTLMv2のみ。
このトピックに関する私の調査から、 "Anonymous Logon"と "NTLM V1" What to disable? および https://markgamache.blogspot.co。 nz/2013/01/ntlm-challenge-response-is-100-broken.html
これらのリンクやその他のリンクから、通常与えられる唯一の答えは、HKLM\SYSTEM\CurrentControlSet\Control\Lsaの下にLmCompatibilityLevelという名前のレジストリ値があり、それを調整することです。これを値5に設定してみましたクライアントはNTLMv2認証のみを使用し、サーバーがサポートしている場合はNTLMv2セッションセキュリティを使用します。ドメインコントローラーはLMおよびNTLM認証応答を拒否しますが、NTLMv2を受け入れます。
ただし、これを実行すると、LM/NTLMのみを使用/許可することになっているLmCompatibilityLevelを0に設定するように設定した別のサーバーからのWindows資格情報を使用して、引き続きWebサイトに正常に接続できるようです。
NTLMv1認証を使用していることを検出した方法は、Windowsセキュリティログを介したものです。
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
接続前にクライアントサーバーでレジストリ値を3以上に設定すると、パッケージ名の値がNTLM V2になります。
また、ローカルおよびグループのセキュリティポリシーを変更しました。ネットワークセキュリティ:LAN Manager認証レベルをに変更します。NTLMv2応答のみを送信します。 LMとNTLMを拒否しますが、私のテストから、これらは同じ設定に対して本質的に異なるインターフェイスであることを理解しています。
誰かがこれを経験しましたか、または私が変更する必要がある、見逃している別の設定があるかどうかを知っていますか?
私の経験から、NTLMv2(2008 R2で認証を構成)を構成するときに、ntlm.auth.domainに誤ったドメイン名を設定したため、これに直面しました。
@Silvio Meierの投稿(2.落とし穴)で解決策を見つけました。問題をより詳しく説明しています: https://web.liferay.com/community/forums/-/message_boards/message/57355858
他の誰かが将来同じ問題を抱えている場合、この設定はより低いドメインコントローラ設定によって上書きされていたようです。ドメインコントローラをレベル5に設定すると(NTLMv2応答のみを送信します。LMとNTLMを拒否します)、NTLM v1接続を拒否します。
レジストリを編集してコンピューターを再起動した場合、設定も再起動によって上書きされたため、ドメインコントローラーの設定を編集するだけで、NTLMv1接続を拒否するという必要な結果を得ることができました。
3はNTLMv2のみを送信しますが、LM、NTLMv1、およびNTLMv2を受け入れます。 https://technet.Microsoft.com/en-us/library/2006.08.securitywatch.aspx