“匿名login”vs“NTLM V1”要禁用什么?
在AD环境下工作摆脱NTLM V1login全部; 发现很多事件,其中几乎所有来自用户“匿名login”(4624事件)的其他1(4624事件)百分比都来自某些用户。 所以,在这里我有一些问题。
- 禁用“匿名login”(通过GPO安全设置)还是阻止“NTLM V1”连接更好? 双方或双方面临的风险是什么? 这些login事件大多来自其他Microsoft成员服务器。
- 匿名login100%的时间使用“NTLM V1”吗? 即如果我看到一个匿名login,我可以假设它肯定使用NTLM V1?
- 匿名login事件540和4624之间的区别是什么? – >注意:function级别是2008 R2
请让我知道是否需要任何额外的信息。
你提出的问题是, “禁止”匿名login“(通过GPO安全设置)还是阻止”NTLM V1“会更好一些,因为这两件事情并不相互排斥,既不是,也不是只有一个,不同的程度,这里有很多灰色,你不能将它浓缩成黑白色。
禁用NTLMv1通常是一个好主意。 它通过LmCompatibilityLevelregistry设置完成,或通过组策略完成。 请注意,根据机器是域控制器还是域成员,相同的设置具有稍微不同的行为。
http://technet.microsoft.com/en-us/library/cc960646.aspx
在这里禁用NTLMv1的潜在风险是破坏了与非常老的Windows客户端的向后兼容性,更不可能与非Microsoft客户端不会说NTLMv2。 你将不得不testing这些。 任何合理的现代和补丁版本的Windows都可以处理NTLMv2 w / Session Security,并且没有任何问题(我们正在讨论Server 2000或更高版本)。
禁用匿名login是完全不同的事情。 您可以禁用匿名用户枚举共享,SAM帐户,registry项,全部或不包含这些事情或组合的能力。 您限制匿名login的次数越多,假设您将增加安全状态,同时又失去了易用性和便利性。 (例如,您的用户可能会失去枚举服务器上的文件或打印机共享的能力等)
所以你不能说哪一个更好。 他们是两个完全不同的事情的两个不同的机制。
事件540特定于“networking”login,例如用户通过networking连接到共享文件夹或打印机。 这也是一个Win 2003风格的事件ID。 你可以告诉,因为它只有3位数字。 Vista / 2008中的相应事件被转换为4位ID:
Eric Fitzgerald说:我已经写了两次(在这里和这里)关于WS03和早期版本的Windows中的“旧”事件ID(5xx-6xx)之间以及“新”安全事件ID(4xxx-5xxx )在Vista和更高版本。
简而言之,对于WS03中的几乎所有安全事件,EventID(WS03)+ 4096 = EventID(WS08)。
例外是login事件。 login成功事件(540,528)被折叠成单个事件4624(= 528 + 4096)。 login失败事件(529-537,539)被折叠成单个事件4625(= 529 + 4096)。
除此之外,有些情况下,旧的事件被弃用(IPsec IIRC),并且有些情况下新增事件(DS变更)。 这些都是新的仪器,没有“映射”可能 – 例如新的DS变更审计事件是对旧的DS访问事件的补充; 他们logging与旧事件不同的东西,所以你不能说旧事件xxx =新事件,因为它们不是等价的。 旧事件意味着一件事,新事件意味着另一件事; 它们表示操作系统中不同的检测点,而不仅仅是格式化日志中事件表示的更改。
当然,我之前解释过,为什么我们把事件重新编号,而(在同一个地方)为什么差异是“+4096”,而不是像“+1000”那样更加人性化。 底线是事件模式是不同的,所以通过改变事件ID(而不是重新使用任何事件),我们强制更新现有的自动化,而不是仅仅在自动化不知道Windows的版本时误解事件产生了这个事件。 我们意识到这将是痛苦的,但是它远不如每个事件消费者必须意识到的那样痛苦,并且对Vista之前的事件和具有相同的ID但是不同的模式的Vista之后的事件具有特殊的包装。
因此,如果您碰巧知道Vista之前的安全事件,那么您可以快速将您现有的知识转换为Vista,方法是增加4000,增加100,减去4.你可以在你的脑海中做这个。
但是,如果您尝试实现一些自动化,则应避免尝试制作带有事件ID号“= Vista”列的图表,因为这可能会导致错误parsing一组事件,因为您会发现令人沮丧的是没有1:1映射(在某些情况下根本没有映射)。
埃里克