Netzwerksicherheit NTLM - Frage
Frage zur Authentifizierung über NTLM
Hallo Leute,
da ich immer mal wieder mit NTLM in Berührung komme und hin und wieder Hinweise darauf
bekomme NTLMv2 zu verwenden in meiner etwas größeren Domäne. 5 DomänenController, 4 Standorte,
3 weitere Domäns per Trust verbunden etc... ( 400 Clients, 35 Server ... )
Folgende Frage zu :
http://technet.microsoft.com/de-de/library/cc738867(v=ws.10).aspx
a)
LM- und NTLM-Antworten senden: Clients verwenden die LM- und NTLM-Authentifizierung, niemals die NTLMv2-Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
b)
LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt): Clients verwenden die LM- und NTLM-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
Was bedeutet das genau für meine Domäne , wenn ich von a auf b umstelle. Ich will das aber liebend
gern vorher abgecheckt habe, bevor ich das in meiner Umgebung aktiv stelle ...
Es könnte größere Auswirkungen haben, die ich im Moment nicht einschätzen kann ...
Im Einsatz :
Clients :
Win98v2(nur Zugriff kein Domänenmitglied ),WinNT4.0(nur Zugriff kein Domänenmitglied ),
WinXPx32, WinXPx64, Win7x32, Win7x64
Server :
Win2003, Win2008, Win2008R2
Vielen Dank für fundierte Antworten.
Hallo Leute,
da ich immer mal wieder mit NTLM in Berührung komme und hin und wieder Hinweise darauf
bekomme NTLMv2 zu verwenden in meiner etwas größeren Domäne. 5 DomänenController, 4 Standorte,
3 weitere Domäns per Trust verbunden etc... ( 400 Clients, 35 Server ... )
Folgende Frage zu :
http://technet.microsoft.com/de-de/library/cc738867(v=ws.10).aspx
a)
LM- und NTLM-Antworten senden: Clients verwenden die LM- und NTLM-Authentifizierung, niemals die NTLMv2-Sitzungssicherheit; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
b)
LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt): Clients verwenden die LM- und NTLM-Authentifizierung bzw. die NTLMv2-Sitzungssicherheit, wenn dies vom Server unterstützt wird; Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.
Was bedeutet das genau für meine Domäne , wenn ich von a auf b umstelle. Ich will das aber liebend
gern vorher abgecheckt habe, bevor ich das in meiner Umgebung aktiv stelle ...
Es könnte größere Auswirkungen haben, die ich im Moment nicht einschätzen kann ...
Im Einsatz :
Clients :
Win98v2(nur Zugriff kein Domänenmitglied ),WinNT4.0(nur Zugriff kein Domänenmitglied ),
WinXPx32, WinXPx64, Win7x32, Win7x64
Server :
Win2003, Win2008, Win2008R2
Vielen Dank für fundierte Antworten.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 194437
Url: https://administrator.de/forum/netzwerksicherheit-ntlm-frage-194437.html
Ausgedruckt am: 29.04.2025 um 06:04 Uhr
1 Kommentar
Hallo,
kurz: es macht nichts und es bringt nichts (solange keine ungenannten Anwendungen mitmischen).
Die Erläuterung von Variante a) bzw. LmCompatibilityLevel 0 ist aus historischen Gründen missverständlich, denn seit Win 2000 SP3/SRP1 ist die Aushandlung von NTLMv2 Standard. Deine höheren Systeme verhalten sich unter beiden Einstellungen gleich. Ebenso ist die Aushandlung in beiden Varianten gleichermaßen angreifbar. Einen Sicherheitsgewinn würde erst Level 3 bringen, was für die Authentifizierung gegen ein Win98- bzw. NT4-System dessen Domänenmitgliedschaft erfordert. Für den umgekehrten Zugriff ist Level 3 einsetzbar.
Grüße
Richard
kurz: es macht nichts und es bringt nichts (solange keine ungenannten Anwendungen mitmischen).
Die Erläuterung von Variante a) bzw. LmCompatibilityLevel 0 ist aus historischen Gründen missverständlich, denn seit Win 2000 SP3/SRP1 ist die Aushandlung von NTLMv2 Standard. Deine höheren Systeme verhalten sich unter beiden Einstellungen gleich. Ebenso ist die Aushandlung in beiden Varianten gleichermaßen angreifbar. Einen Sicherheitsgewinn würde erst Level 3 bringen, was für die Authentifizierung gegen ein Win98- bzw. NT4-System dessen Domänenmitgliedschaft erfordert. Für den umgekehrten Zugriff ist Level 3 einsetzbar.
Grüße
Richard
