Windows
允許 Windows 客戶端使用 NTLMv1 的含義?
我有一個 Web 應用程序,我想對其使用直通 NTLM 進行 SSO 進行身份驗證。然而,存在一個問題,NTLMv2 在這種情況下顯然不起作用(沒有應用程序儲存相同的密碼雜湊)。
我使用其本地組策略在一台客戶端電腦(Vista)上啟用了 NTLMv1:電腦->Windows 設置->安全設置->網路安全:LAN Manager 身份驗證級別。我將其更改為發送 LM 和 NTLM - 如果協商,則使用 NTLMv2 會話安全性。
這行得通,我可以使用 NTLM 登錄到 Web 應用程序。現在這個應用程序將被我所有的客戶端機器使用……所以我想知道如果我將這個策略推送到所有客戶端(而不是域控制器本身)會有什麼安全風險?
這是一個非常糟糕的做法,有點像啟用 WEP 來保護您的 WiFi,因為您有一台無法使用 WPA2 的 Windows 98 電腦。現在是 2009 年,如果您真的非常需要 SSO,Kerberos 就可以工作。
我還認為網站的集成身份驗證通常是一種不好的做法,因為當使用者有多個帳戶(我們使用單獨的使用者/管理員帳戶)時,它通常會導致奇怪的問題,需要您使用 IE 信任區域,並且需要您使用 IE 或擺弄 Firefox 設置。
考慮到 IE 自 2002 年或任何時候 IE6 出現以來一直存在並將繼續存在的問題(即帶外 ActiveX 更新檔),您真的想致力於該平台嗎?