致力于在 AD 环境中彻底摆脱 NTLM V1 登录;发现很多事件,几乎所有事件都来自用户“匿名登录”(4624 个事件),其他 1%(4624 个事件)来自其他用户。所以,我有一些问题。
- 禁用“匿名登录”(通过 GPO 安全设置)还是阻止“NTLM V1”连接更好?这两种方式的风险是什么?这些登录事件大多来自其他 Microsoft 成员服务器。
- 匿名登录是否 100% 都使用“NTLM V1”?也就是说,如果我看到匿名登录,是否可以假设它肯定使用 NTLM V1?
- 匿名登录事件 540 和 4624 之间到底有什么区别?-> 注意:功能级别是 2008 R2
如果需要任何其他信息,请告诉我。
答案1
你提出的问题,“禁用“匿名登录”(通过 GPO 安全设置)还是阻止“NTLM V1”更好?,这不是一个好问题,因为这两件事并不相互排斥。你可以同时做两件事,也可以不做,或者只做一件事,而且程度各不相同。这里有很多灰色地带,你不能把它浓缩为黑与白。
禁用 NTLMv1 通常是一个好主意。这可以通过LmCompatibilityLevel注册表设置或组策略来完成。请注意,根据计算机是域控制器还是域成员,相同的设置的行为会略有不同。
http://technet.microsoft.com/en-us/library/cc960646.aspx
禁用 NTLMv1 的潜在风险是破坏与非常旧的 Windows 客户端,更可能是不支持 NTLMv2 的非 Microsoft 客户端。您必须测试这些客户端。任何相当现代且已打过补丁的 Windows 版本都可以毫无问题地处理带有会话安全性的 NTLMv2(我们说的是 Server 2000 或更高版本)。
禁用匿名登录是完全不同的事情。您可以禁用匿名用户枚举共享、SAM 帐户、注册表项、全部或不枚举这些内容或组合的能力。您对匿名登录的限制越多,理论上您的安全状况就会提高,但同时会失去易用性和便利性。(例如,您的用户可能会失去枚举服务器上的文件或打印机共享的能力等。)
所以你不能说哪一个是更好的。它们是两种不同的机制,可以完成两件完全不同的事情。
事件 540 特定于“网络”登录,例如用户通过网络连接到共享文件夹或打印机。它也是 Win 2003 样式的事件 ID。您可以分辨出来,因为它只有 3 位数字。Vista/2008 中的相应事件已转换为 4 位数字 ID:
Eric Fitzgerald 说道:我曾经两次(这里和这里)写过关于 WS03 与早期 Windows 版本中的“旧”事件 ID(5xx-6xx)之间的关系,以及 Vista 及更高版本中的“新”安全事件 ID(4xxx-5xxx)之间的关系。
简而言之,对于 WS03 中的几乎所有安全事件,EventID(WS03) + 4096 = EventID(WS08)。
例外情况是登录事件。登录成功事件 (540, 528) 被合并为单个事件 4624 (=528 + 4096)。登录失败事件 (529-537, 539) 被合并为单个事件 4625 (=529+4096)。
除此之外,还存在弃用旧事件(IPsec IIRC)的情况,也存在添加新事件(DS Change)的情况。这些都是新检测,不可能进行“映射” - 例如,新的 DS Change 审计事件是对旧 DS Access 事件的补充;它们记录的内容与旧事件不同,因此您不能说旧事件 xxx = 新事件 yyy,因为它们并不等同。旧事件意味着一件事,新事件意味着另一件事;它们代表操作系统中的不同检测点,而不仅仅是日志中事件表示的格式变化。
当然,我之前已经解释过我们为什么重新编号事件,以及(在同一个地方)为什么差值为“+4096”,而不是更人性化的“+1000”。归根结底,事件架构不同,因此通过更改事件 ID(而不是重复使用任何事件 ID),我们强制更新现有自动化,而不是在自动化不知道生成事件的 Windows 版本时误解事件。我们意识到这会很痛苦,但它远没有每个事件消费者都必须了解并特殊区分具有相同 ID 但不同架构的 Vista 前事件和 Vista 后事件那么痛苦。
因此,如果您恰好知道 Vista 之前的安全事件,那么您可以通过加上 4000、加上 100 和减去 4 的方式,将您现有的知识快速转化为 Vista。您可以在脑海中完成这些操作。
但是,如果您尝试实现某些自动化,则应避免尝试制作带有“=Vista”事件 ID 号列的图表,因为这可能会导致错误解析一组事件,并且您会发现没有 1:1 映射(在某些情况下根本没有映射)会令人沮丧。
埃里克