zeroua
28-07-2009, 00:31
Я тут малость копался и нашел команду LMCompatibilityLevel, толковой информации не нашел, знаю что скажем сканер XSpider рекомендует изменить параметр 0 на 2, интересует на сколько такого рода изменения повысят безопасность локальной машины и нужно ли это делать вообще ?
З.Ы. Есть такого рода информация:
если в сети отсутствуют клиенты с Windows for Workgroups и Windows 95/98/Me, то рекомендуется отключить LM-аутентификацию, так как это существенно затруднит восстановление паролей при перехвате аутентификационных пакетов злоумышленником. Если же такие клиенты присутствуют, то можно включить использование LM-аутентификации только по запросу сервера. Это можно сделать, активизировав расширение механизма аутентификации NTLMv2. Для его активизации необходимо добавить в реестр следующие параметры:
LMCompatibilityLevel типа DWORD в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Диапазон: 0-5, по умолчанию - 0.
0 - посылать LM- и NT-ответы, никогда не использовать аутентификацию NTLMv2;
1 - использовать аутентификацию NTLMv2, если это необходимо;
2 - посылать только NT-ответ;
3 - использовать только аутентификацию NTLMv2;
4 - контроллеру домена отказывать в LM-аутентификации;
5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2).
NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Диапазон: объединенные по логическому ИЛИ любые из следующих значений:
0x00000010 - целостность сообщений;
0x00000020 - конфиденциальность сообщений;
0x00080000 - безопасность сеанса NTLMv2;
0x20000000 - 128-битное шифрование.
З.Ы. Есть такого рода информация:
если в сети отсутствуют клиенты с Windows for Workgroups и Windows 95/98/Me, то рекомендуется отключить LM-аутентификацию, так как это существенно затруднит восстановление паролей при перехвате аутентификационных пакетов злоумышленником. Если же такие клиенты присутствуют, то можно включить использование LM-аутентификации только по запросу сервера. Это можно сделать, активизировав расширение механизма аутентификации NTLMv2. Для его активизации необходимо добавить в реестр следующие параметры:
LMCompatibilityLevel типа DWORD в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Диапазон: 0-5, по умолчанию - 0.
0 - посылать LM- и NT-ответы, никогда не использовать аутентификацию NTLMv2;
1 - использовать аутентификацию NTLMv2, если это необходимо;
2 - посылать только NT-ответ;
3 - использовать только аутентификацию NTLMv2;
4 - контроллеру домена отказывать в LM-аутентификации;
5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2).
NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Диапазон: объединенные по логическому ИЛИ любые из следующих значений:
0x00000010 - целостность сообщений;
0x00000020 - конфиденциальность сообщений;
0x00080000 - безопасность сеанса NTLMv2;
0x20000000 - 128-битное шифрование.