Jump to content

LM|NTLM vs. NTLM2 - Brauchte einen Rat - Vertrauenstellung Domänen

BaSe

Von BaSe
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

BaSe Rising Star

BaSe   10

Geschrieben
Geschrieben

Guten Morgen,

 

unser Firma steht kurz davor mit einer anderen Firma zu fusionieren, dabei geht es primär um die Vertrauenstellung zwischen den beiden Windows 2003 Domänen.

 

Firma A(das bin ich) setzt als LAN Manager Authentifizierungsebene NTLM2 ein und verweigert LM & NTLM.

 

Firma B setzt als LAN Manager Auth.ebene LM & NTLM ein.

 

Das Problem ist das wir zwar auf Resouren der Firma B zugreifen können, Firma B aber nicht da die Kontoinformationen der AD-Ctrl.(Resourcen) unserer Server, bedingt durch NTLM2.

 

Die Gründe liegen einfach in der Netzwerksicherheit und in den Schwachstellen des NTLM1 Protokolles.

 

Könnte Firma B als Richtlinie LM- und NTLM-Antworten senden(NTLMv2-Sitzungssicherheit verwenden) einsetzen um das Problem zulösen?

 

Firma B verwendet teilweise noch Windows NT und Windows95 Rechner :suspect:

Wir, FirmaA, XP und Windows 2000 Rechner.

 

Gut, auf den NT Rechner könnte man das Active Directory client extension Addon verwenden um den NT Rechner NTLM2 beizubringen, aber mit Windows95(DOS) von meinem Wissenstand nicht.

 

Was ist eure Meinung zu NTLM und NTLM2, wie könnte man das Problem angehen.

 

Vorneweg : Ich gehe sehr ungerne auf NTLM1 zurück, Sicherheit geht bei mir vor.

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Nun, die maximale (oder minimale, je anch Standpunkt) Authentifizeriungsebene wird numal durch die eingestezten Clients definniert. Und wenn da W95 im Spiel ist, dann geht halt nicht mehr als ...

BTW: DomB Ist nicht deine Domäne, aber wenn W95 im Spiel ist, dann dürfen wir das Wort "Sicherheit " nicht in den Mund nehmen :suspect:

 

Also Upgrade der Clients, oder entsprechende Authentifizierungsebene zulassen, oder keine Verbindung für diese Cleints in Kauf nehmen.

 

grizzly999

Link zu diesem Kommentar
BaSe Rising Star

BaSe   10

Geschrieben
  • Autor
Geschrieben
Nun, die maximale (oder minimale, je anch Standpunkt) Authentifizeriungsebene wird numal durch die eingestezten Clients definniert. Und wenn da W95 im Spiel ist, dann geht halt nicht mehr als ...

BTW: DomB Ist nicht deine Domäne, aber wenn W95 im Spiel ist, dann dürfen wir das Wort "Sicherheit " nicht in den Mund nehmen :suspect:

 

Also Upgrade der Clients, oder entsprechende Authentifizierungsebene zulassen, oder keine Verbindung für diese Cleints in Kauf nehmen.

 

grizzly999

 

Das ist mir klar, nur wie steht ihr zum NTLM1 Protokoll? Ist halt mal so das derAuthentisierungsmechanismus NTLM unsicher ist, so das das Abhören des Netzverkehrs möglich ist um Benutzerpasswörter zu rekonstruieren.

 

Die Problemmatik ist mir klar, einer muss nachgeben :rolleyes:

Aber die gewichtung, sollen die ihre W95 Clients rausschmeissen oder auf kosten der Sicherheit wieder das NTLM1 einsetzen.

 

Die Frage war ja : Könnte Firma B als Richtlinie LM- und NTLM-Antworten senden(NTLMv2-Sitzungssicherheit verwenden) einsetzen um das Problem zulösen?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...