![]() |
Запрет NTLM v1 в домене
Добрый день, у меня вопрос, нужно ли включать Сетевая безопасность: ограничения NTLM: входящий трафик NTLM - Запретить все учетные записи
если уже включены эти две настройки Сетевая безопасность: уровень проверки подлинности LAN Manager - Отправлять только NTLMv2-ответ. Отказывать LM и NTLM Сетевая безопасность: не хранить хеш-значений LAN Manager при следующей смене пароля как бы NTLM первой версии и так должно отклонять, нужно ли для этого запрещать еще и входящий трафик NTLM ? В разных статьях по запрету NTLM где то пишут что достаточно запретить хеш и выставить "Отправлять только NTLMv2-ответ. Отказывать LM и NTLM", где то еще советуют для запрета включать "Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене- запретить все" Достаточно ли двух уже выбранных или надо все четыре запрета выставлять ? |
Цитата:
Начнём с того, что выберите доступный Вам метод проверки отключения NTLM-ответ и проверяйте, что произойдёт при одних настройках, что при других. |
Цитата:
защищают ли две уже выбранные настройки которые отклоняют NTLM ответы или система все равно под угрозой и нужно запрещать еще траффик и проверку подлинности Спрашиваю кто по опыту сталкивался с такими настройками |
Цитата:
Чем Вас не устраивает Remote Desktop Gateway? |
Спасибо, что ответили и уделили внимание, мне не хватало немного знаний по этой тематике, и не попопадалось толкового материала для полнейшего понимания этого вопроса.
Попалось две толковых статьи где описывают что делать и почему это делать, мне так понятно становится https://www.atraining.ru/lm-ntlm-ntlmv2-armoring/ и https://interface31.ru/tech_it/2015/...st-1-ntlm.html Сейчас вот такие настройки выставлены. пункт "Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP (включая безопасный RPC)." почему то два раза повторяется, выставил оба по статье ![]() |
Цитата:
Цитата:
|
после применения этих политик на win10 ltsc с включенным проверкой подлинности на уровне сети для RDP я получил ошибку подключения CredSSP
А со своего компа с Win10 я не могу к DameWare подключиться, ввожу данные и ничего, на КД и проводником и по RDP хожу нормально ,это что такое ? ![]() при подключении через управление компьютера к КД выдает такое ![]() включил это правило на КД и без изменений p.s. с DameWare я разобрался, описывал здесь http://forum.oszone.net/showpost.php...1&postcount=77 |
У меня еще вопрос, мог запрет NTLM повлиять на отображение компьютеров в сети ???
В сети более 20 компов с Win, а отображает только 3 штуки, по тем которых в списке нет ходит проводником при прямом вводе его в адресной строке, но в списке их все равно нет, служба обозревателей компьютеров работает ![]() А по IP не входит на них вообще, в один ошибку ,во второй учетные данные требует, по имени при этом входит, это что ? ![]() |
|
С сетевым окружением вопрос решен, включил через политики службы "Хост поставщика функции обнаружения" и "Публикация ресурсов обнаружения функции" и пошло дело, помогла статья https://michaelfirsov-wordpress-com....owser-service/
компы появляются по мере обновления политик на компах. ![]() Вторая проблема этим не решилась. Ситуация следующая по имени заходит, по IP нет или ошибка или учетный данные требует С WIN7 ![]() C XP ![]() с результатами net view с XP (слева) и win7 (справа) выдает системная ошибка 50 и системная ошибка 53 ![]() Могли бы помочь с этим вопросом ? |
Цитата:
Резолвинг по IP происходит как того положено? Ну и отсюда цитата: Цитата:
|
Цитата:
спросил у главного КД его собственное имя спросил IP адрес главного КД в имя спросил у главного КД IP адрес второго КД ![]() все успешно дочитал и не понял, это у всех так и ничего нельзя сделать получается, запрет на ходить по IP адресам это не баг а фича получается ![]() что такое SPN запись пока не знаю честно говоря |
мне наверное нужно создать тему в ветке "Сетевые технологии" с этим вопросом ? http://forum.oszone.net/forum-31.html
Потому что первоначальный вопрос уже был решен. |
Цитата:
Цитата:
|
вычитал в статье на хабре следующее
![]() https://habr.com/ru/post/283482/ утверждается что с запрещенным NTLM и разрешенным NTLMv2 доступ по IP должен проходить по NTLMv2 у меня же разрешен NTLMv2, но все равно не открывается, только по имени ![]() |
Время: 21:11. |
Время: 21:11.
© OSzone.net 2001-