Bod*_*den 3 security windows authentication group-policy ntlm
我有一个 Web 应用程序,我想对其使用直通 NTLM 进行 SSO 身份验证。但是,存在一个问题,即 NTLMv2 在这种情况下显然不起作用(应用程序没有存储相同的密码哈希)。
我使用其本地组策略在一台客户端计算机 (Vista) 上启用了 NTLMv1:计算机->Windows 设置->安全设置->网络安全:LAN Manager 身份验证级别。我将其更改为发送 LM 和 NTLM - 如果协商使用 NTLMv2 会话安全。
这行得通,我可以使用 NTLM 登录到 Web 应用程序。现在这个应用程序将被我的所有客户端机器使用......所以我想知道如果我将此策略推送给所有客户端(而不是域控制器本身)会带来什么安全风险?
NTLM 在 NT4.0 SP4 中被 NTLMv2 取代。那是十多年前的事了。NTLM 比 LM 更难破解密码,NTLMv2 更难破解。Vista 仅默认使用 NTLMv2 是有原因的。彩虹表已经为完整的 LM 密码空间编译,最后我听说工作进展顺利,为 NTLM 空间做同样的事情。NTLMv2 还没有完成。
是的,这样做会增加安全风险。它们对您是否重要取决于您自己的风险评估。
这是一个非常糟糕的做法,有点像启用 WEP 来保护您的 WiFi,因为您有一台无法使用 WPA2 的 Windows 98 计算机。现在是 2009 年,如果您真的非常需要 SSO,那么 Kerberos 可以工作。
我还认为网站的集成身份验证通常是一种不好的做法,因为当用户拥有多个帐户(我们使用单独的用户/管理员帐户)时,它通常会导致奇怪的问题,需要您处理 IE 信任区域,并要求您使用 IE 或摆弄 Firefox 设置。
鉴于自 2002 年或 IE6 出现时 IE 一直并将继续发生的火车事故(即带外 ActiveX 补丁),您真的想致力于该平台吗?
| 归档时间: |
|
| 查看次数: |
8303 次 |
| 最近记录: |