DevAdmin Blog

Blog di Ermanno Goletto (Microsoft MVP Directory Services - MCITP - MCTS - MCSA - MCP)
posts - 887, comments - 447, trackbacks - 13

My Links

News

Avatar

Curriculum Vitae

Visualizza il profilo di Ermanno Goletto su LinkedIn

Il contenuto di questo blog e di ciascun post viene fornito “così come é”, senza garanzie, e non conferisce alcun diritto. Questo blog riporta il mio personale pensiero che non riflette necessariamente il pensiero del mio datore di lavoro.

Logo Creative Commons Deed

Logo SysAdmin.it SysAdmin.it Staff

Logo TechNet Forum TechNet Italia @ForumTechNetIt Follow TechNet Forum on Twitter

Logo MVP

Ermanno Goletto Follow ermannog on Twitter

Article Categories

Archives

Post Categories

Blogs

Friends

Knowledge Base

MVP Sites

Resources
<< Powershell v2 chiarimenti sulla versione | Home | Autenticazione Kerberos alcune note >>

Autenticazione NTLM alcune note

L'autenticazione NTLM è nota anche come autenticazione integrata di Windows e viene utilizzato come protocollo di autenticazione per le transazioni tra due computer nel seguenti casi:

  • Client Windows 2000 o Windows XP Professional che si autenticano in un dominio Windows NT 4.0.
  • Client Windows NT 4.0 Workstation che ottiene che si autentica in un dominio AD.
  • Client Windows NT 4.0 Workstation che si autentica in un dominio Windows NT 4.0.
  • Utenti di un dominio Windows NT 4.0 che si autenticano in un dominio AD.
  • Un client su cui è in esecuzione Windows 95, Windows 98 o Windows Millennium Edition che sta eseguendo l'autenticazione in un controller di dominio.
  • Computer che non fanno parte di un dominio, quali i server e i gruppi di lavoro autonomi.
  • Membri non di dominio quando si autenticano a membri di domino
  • Accesso a share quando si utilizza l’indirizzo IP (per esempio \\192.168.1.100\share)

Microsoft ha sviluppato un miglioramento per NTLM, denominato NTLM versione 2, che migliora significativamente i meccanismi di autenticazione e protezione di sessione. NTLM 2 è disponibile per Windows NT 4.0 SP4 ed è supportato a livello nativo a partire da Windows 2000. È possibile aggiungere il supporto per NTLM 2 a Windows 98 installando le estensioni client di Active Directory.

Una volta aggiornati tutti i computer basati su Windows 95, Windows 98, Windows 98 Seconda Edizione e Windows NT 4.0, è possibile migliorare notevolmente la protezione della propria azienda configurando client, server e controller di dominio affinché utilizzino esclusivamente NTLM 2 (non LM o NTLM).

L’autenticazione NTLM si configura con la chiave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\LMCompatibilityLevel

·         0 =Send LAN Manager (LM) responses and NTLM responses.
Client computers send LM responses and NTLM responses. Client computers never use NTLMv2 session security. Domain controllers accept LM authentication, NTLM authentication, and NTLMv2 authentication.
(Default per Windows XP e Windows 2000)

·         1 Send LM authentication and NTLM authentication and use NTLMv2 session security if negotiated.
Client computers use LM authentication and NTLM authentication. Client computers use NTLMv2 session security if the server supports NTLMv2 session security. Domain controllers accept LM authentication, NTLM authentication, and NTLMv2 authentication.

·         2 Send only NTLM responses.
Client computers use only NTLM authentication. Client computers use NTLMv2 session security if the server supports NTLMv2 session security. Domain controllers accept LM authentication, NTLM authentication, and NTLMv2 authentication.
(Default per Windows server 2003, Windows Server 2003 R2)

·         3 Send only NTLMv2 responses.
Client computers use only NTLMv2 authentication. Client computers use NTLMv2 session security if the server supports NTLMv2 session security. Domain controllers accept LM authentication, NTLM authentication, and NTLMv2 authentication.
(Default per Windows Vista, Windows 7, Windows Server 2008, Windows Server 2008 R2)

·         4 Send only NTLM responses and refuse LM authentication.
Client computers use only NTLM authentication. Client computers use NTLMv2 session security if the server supports NTLMv2 session security. Domain controllers refuse LM authentication. Domain controllers accept NTLM authentication and NTLMv2 authentication.

·         5 Send only NTLMv2 responses and refuse LM authentication and NTLM authentication.
Client computers use only NTLMv2 authentication. Client computers use NTLMv2 session security if the server supports NTLMv2 session security. Domain controllers refuse LM authentication and NTLM authentication. Domain controllers accept only NTLMv2 authentication

 

Per ulteriori informazioni si vedano:

image

Print | posted on Sunday, November 15, 2009 11:13 PM | Filed Under [ Links Security IT ]

Feedback

No comments posted yet.

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 6 and 3 and type the answer here:

Powered by:
Powered By Subtext Powered By ASP.NET

Copyright © Ermanno Goletto