Разное - параметр реестра LMCompatibilityLevel

Разное - параметр реестра LMCompatibilityLevel

zeroua

Ветеран

Сообщения: 2618
Благодарности: 552

Я тут малость копался и нашел команду LMCompatibilityLevel, толковой информации не нашел, знаю что скажем сканер XSpider рекомендует изменить параметр 0 на 2, интересует на сколько такого рода изменения повысят безопасность локальной машины и нужно ли это делать вообще ?

З.Ы. Есть такого рода информация:

Цитата:

если в сети отсутствуют клиенты с Windows for Workgroups и Windows 95/98/Me, то рекомендуется отключить LM-аутентификацию, так как это существенно затруднит восстановление паролей при перехвате аутентификационных пакетов злоумышленником. Если же такие клиенты присутствуют, то можно включить использование LM-аутентификации только по запросу сервера. Это можно сделать, активизировав расширение механизма аутентификации NTLMv2. Для его активизации необходимо добавить в реестр следующие параметры:
LMCompatibilityLevel типа DWORD в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Диапазон: 0-5, по умолчанию - 0.
0 - посылать LM- и NT-ответы, никогда не использовать аутентификацию NTLMv2;
1 - использовать аутентификацию NTLMv2, если это необходимо;
2 - посылать только NT-ответ;
3 - использовать только аутентификацию NTLMv2;
4 - контроллеру домена отказывать в LM-аутентификации;
5 - контроллеру домена отказывать в LM- и NT-аутентификации (допустима только аутентификация NTLMv2).
NtlmMinClientSec или NtlmMinServerSec типа DWORD в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Диапазон: объединенные по логическому ИЛИ любые из следующих значений:
0x00000010 - целостность сообщений;
0x00000020 - конфиденциальность сообщений;
0x00080000 - безопасность сеанса NTLMv2;
0x20000000 - 128-битное шифрование.

-------
лучше по утру на Google Earth искать ГДЕ ты пил, чем на youtube КАК...

Отправлено: 00:31, 28-07-2009

K.A.V.

Ленивый кусок мяса

Сообщения: 1986
Благодарности: 723

Профиль | Сайт | Отправить PM | Цитировать

Может это?
http://technet.microsoft.com/ru-ru/l.../aa996026.aspx

-------
[Справочник по командам Windows] -- [Справочник по NSIS] -- [SFX Creator - для создания SFX архивов]

Отправлено: 02:37, 28-07-2009 | #2

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

zeroua

Ветеран

Сообщения: 2618
Благодарности: 552

Профиль | Отправить PM | Цитировать

-------
лучше по утру на Google Earth искать ГДЕ ты пил, чем на youtube КАК...

Отправлено: 05:50, 01-08-2009 | #3

seman

Ветеран

Сообщения: 623
Благодарности: 14

Профиль | Отправить PM | Цитировать

zeroua,
я лично у себя отключил. и в своей
сети тоже, тем более клиентов Windows 95/98/Me в сети нет.
достачно взять любой крэкер, подключить sam и сразу станет ясно насколько
уязвима LM-аутентификация. Получить пароль можно за несколько минут .
С NT аутентификации будет сложнее это реализовать.

Отправлено: 09:12, 01-08-2009 | #4