“匿名登錄”與“NTLM V1”要禁用什麼?
致力於在 AD 環境中一起擺脫 NTLM V1 登錄;發現很多事件,幾乎都來自使用者“匿名登錄”(4624 個事件)其他 1(4624 個事件)百分比來自一些使用者。所以,在這裡我有一些問題。
- 禁用“匿名登錄”(通過 GPO 安全設置)還是阻止“NTLM V1”連接更好?兩者都有哪些風險?這些登錄事件大多來自其他 Microsoft 成員伺服器。
- 匿名登錄是否 100% 的時間使用“NTLM V1”?即,如果我看到匿名登錄,我可以假設它肯定使用 NTLM V1 嗎?
- 匿名登錄事件 540 和 4624 之間到底有什麼區別?-> 注意:功能級別為 2008 R2
如果需要任何其他資訊,請告訴我。
您提出的問題*是“禁用“匿名登錄”(通過 GPO 安全設置)還是阻止“NTLM V1”*更好,這不是一個很好的問題,因為這兩件事不是相互排斥的。你可以兩者都做,都不是,或者只有一種,而且程度不同。這裡有很多灰色陰影,你不能把它濃縮成黑白。
禁用 NTLMv1 通常是個好主意。它是通過
LmCompatibilityLevel系統資料庫設置或通過組策略完成的。請注意,根據電腦是域控制器還是域成員,相同的設置具有略微不同的行為。
http://technet.microsoft.com/en-us/library/cc960646.aspx
在此處禁用 NTLMv1 的潛在風險是破壞與非常舊的 Windows 客戶端的向後兼容性,更有可能與不使用 NTLMv2 的非 Microsoft 客戶端兼容。你必須測試那些。任何相當現代且經過修補的 Windows 版本都可以零問題地處理帶有會話安全的 NTLMv2(我們所說的就像任何 Server 2000 或更好的版本。)
禁用匿名登錄完全是另一回事。您可以禁用匿名使用者列舉共享、SAM 帳戶、系統資料庫項、所有這些事物或所有這些事物或組合的能力。您對匿名登錄的限制越多,假設您的安全狀態就會增加,同時您會失去易用性和便利性。(例如,您的使用者可能無法列舉伺服器上的文件或列印機共享等)
所以你不能說哪個*更好。*它們都是兩種不同的機制,做兩種完全不同的事情。
事件 540 特定於“網路”登錄,例如使用者通過網路連接到共享文件夾或列印機。它也是 Win 2003 風格的事件 ID。你可以知道,因為它只有 3 位數字。Vista/2008 中的相應事件已轉換為 4 位 ID:
Eric Fitzgerald 說:關於 WS03 和 Windows 早期版本中的“舊”事件 ID(5xx-6xx)以及“新”安全事件 ID(4xxx-5xxx)之間的關係,我已經寫過兩次(這里和這裡) ) 在 Vista 及以後的版本中。
簡而言之,對於 WS03 中的幾乎所有安全事件,EventID(WS03) + 4096 = EventID(WS08)。
登錄事件除外。登錄成功事件 (540, 528) 合併為單個事件 4624 (=528 + 4096)。登錄失敗事件 (529-537, 539) 合併為單個事件 4625 (=529+4096)。
除此之外,有些情況下舊事件已被棄用(IPsec IIRC),有些情況下添加了新事件(DS Change)。這些都是新的工具,不可能有“映射”——例如,新的 DS Change 審計事件是對舊 DS Access 事件的補充;它們記錄的內容與舊事件不同,因此您不能說舊事件 xxx = 新事件 yyy,因為它們不等價。舊事件意味著一件事,新事件意味著另一件事;它們代表作業系統中不同的檢測點,而不僅僅是格式化日誌中事件表示的更改。
當然,我之前解釋了為什麼我們重新編號事件,以及(在同一個地方)為什麼差異是“+4096”而不是像“+1000”這樣更人性化的東西。底線是事件模式不同,因此通過更改事件 ID(而不是重複使用任何事件 ID),我們強制更新現有自動化,而不是在自動化不知道 Windows 版本時誤解事件產生了這個事件。我們意識到這會很痛苦,但它遠沒有每個事件消費者都必須意識到並為具有相同 ID 但不同模式的 Vista 前事件和 Vista 後事件具有特殊外殼的痛苦。
因此,如果您碰巧知道 Vista 之前的安全事件,那麼您可以通過加 4000、加 100 和減 4 的方式將現有知識快速轉換為 Vista。您可以在腦海中執行此操作。
但是,如果您嘗試實現一些自動化,則應避免嘗試使用事件 ID 編號的“=Vista”列製作圖表,因為這可能會導致錯誤解析一組事件,並且因為您會發現令人沮喪的是沒有 1:1 映射(在某些情況下根本沒有映射)。
埃里克
