sto*_*roz 7 windows security iis http
如果我取消选中 IIS中的"启用匿名访问"复选框,以便密码保护站点,即通过限制对指定Windows帐户的读取访问权限,生成的密码对话框然后呈现给所有匿名http请求,代表安全风险因为它(看似)提供所有和各种各样的尝试猜测任何Windows帐户密码?
编辑:好的,到目前为止,这并没有太多的快乐,所以我附上了赏金.只有50分对不起,我是一个谦虚的人.为了澄清我的目的:在IIS中禁用匿名访问是否为公众提供了以前不存在的密码猜测机会,或者是否可以通过在用户名和密码中包含用户凭据对话框来模拟浏览器的用户凭据对话框. http请求直接,并且即使页面对匿名用户开放,响应也会指示组合是否正确?此外,通过http主题提交的错误密码尝试是针对内部登录强制执行的相同锁定策略,如果是这样,这代表了一个非常容易故意锁定已知用户名的机会,或者,如果没有,是否有任何可以做的事情减轻这种无限密码猜测的机会?
当您选择匿名以外的身份验证时,您肯定可能会遭受密码黑客攻击。但是,所使用的帐户受本地安全策略和域的安全策略中设置的标准帐户锁定策略的约束。
例如,如果您有一个本地帐户“FRED”,并且帐户锁定策略设置为 30 分钟内 5 次无效尝试,那么这可以有效防止帐户密码被猜测,从而面临拒绝服务攻击的风险。然而,将重置窗口设置为一个值(15 分钟?)可以有效地限制 DOS。
不建议对非 SSL 连接使用基本身份验证,因为密码将以纯文本形式传输。
摘要式身份验证要求使用可逆加密将密码存储在服务器上,因此虽然摘要式身份验证比基本式更好,但也有其缺陷。
Windows 集成身份验证包括 NTLM 和 Kerberos。
应通过组策略或本地安全设置配置 IIS 服务器以禁用 LM 身份验证(网络安全:LAN Manager 身份验证级别设置为“仅发送 NTLMv2 响应”或更高,首选为“仅发送 NTLMv2 响应\拒绝 LM 和 NTLM”)防止简单的 LM 哈希破解并防止 NTLM 中间人代理攻击。
可以使用 Kerberos,但只有当两台计算机都是同一域的成员并且可以访问 DC 时,它才有效。由于这通常不会发生在 Internet 上,因此您可以忽略 Kerberos。
所以最终的结果是,是的,禁用匿名确实会导致密码破解尝试和 DOS 攻击,但这些是可以预防和缓解的。