2. Fórumok
  3. Infotech
  4. Rendszergazda topic
  5. (kiemelt téma)
Keresés

Új hozzászólás Aktív témák

  • #9974 brd nagyúr Egon #9972
    Új Válasz #9974
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    brd

    nagyúr

    válasz Egon #9972 üzenetére

    Igen.
    Nem felesleges. Az esetleges problémákat elkerülendő/időben felderítendő. Pl. egy tartományon kívüli Vista/2008-nál régebbi OS-sel így majd nem tudsz kapcsolódni a tartományi gépekhez, ha nincsen ugyanígy force-olva rajtuk az NTLMv2 (és a Kerberos nem megy neki valamiért, mert azzal is próbálkozik), trükkös a dologban, hogy pl. RDP-vel sem (ami nem mindenkinek nyilvánvaló elsőre). Ill. pl. arra is figyelni kell, hogy egy régebbi multifunkciós eszköz nem biztos, hogy kezel NTLMv2-t (pl. a scannert nem tudja megosztásba menteni a képeket). Egyébként a LAN Manager authentication level mellett van még 2 beállítás, azt is érdemes bekapcsolni, ha nem okoz gondot: Network security: Minimum session security for NTLM SSP based (including secure RPC) clients ill. servers, és ezekben az NTLMv2-es, ill. a 128 bit-es sor.
    Igen, a jelszóváltoztatás hiányának ennyi a hátránya.
    Ahhoz ugye, hogy meg tudja szerezni valaki/valami a DC-ről a SAM adatbázist, vagy offfline kell hozzáférnie, vagy backup szinten (VSS), vagy az lsass címteréből. Amennyiben ezekre képes, akkor nem az lesz a legnagyobb baj, hogy vissza tudja fejteni a jelszavakat, hanem az, hogy olyan jogai lesznek, amivel bármit megtehet a domain-ben.

    The only real valuable thing is intuition.

Új hozzászólás Aktív témák