Discussion:
LM und NTLM v1 deaktivieren
(zu alt für eine Antwort)
André Partecke
2007-12-07 13:10:02 UTC
Permalink
Hallo NG

Ich habe folgende Einstellungen auf Domänenebene (!) gemacht, um LM und NTLM
v1 außer Gefecht zu setzen:

Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung
speichern
Aktiviert
Netzwerksicherheit: LAN Manager-Authentifizierungsebene
Nur NTLMv2-Antworten senden\LM & NTLM verweigern


Jetzt sehe ich, dass in der Default Domaincontroller Policy folgendes
definiert ist:

Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung
speichern
undefiniert
Netzwerksicherheit: LAN Manager-Authentifizierungsebene
Nur NTLM-Antworten senden


Kann ich die Einstellungen (und macht das Sinn) von der Domänenebene auch
auf die Default Domaincontroller Policy übertragen?
--
Danke & Gruß
André
Norbert Fehlauer [MVP]
2007-12-08 12:24:46 UTC
Permalink
André Partecke wrote:
Hi,
Post by André Partecke
Ich habe folgende Einstellungen auf Domänenebene (!) gemacht, um LM
1. > Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste
Kennwortänderung speichern Aktiviert


2. > Netzwerksicherheit: LAN Manager-Authentifizierungsebene Nur
NTLMv2-Antworten senden\LM & NTLM verweigern

1. > Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste
Kennwortänderung speichern undefiniert

2. > Netzwerksicherheit: LAN Manager-Authentifizierungsebene Nur
NTLM-Antworten senden
Post by André Partecke
Kann ich die Einstellungen (und macht das Sinn) von der Domänenebene
auch auf die Default Domaincontroller Policy übertragen?
Also 1. mußt du nicht, da es in der DDCP nicht definiert ist wirkt die
Einstellung der DDP.
Für zweitens mußt du natürlich eine gleichlautende Policy für die DCs
einstellen.

Bye
Norbert
--
Dilbert's words of wisdom #04: There are very few personal problems
that cannot be solved by a suitable application of high explosives.
André Partecke
2007-12-10 08:55:51 UTC
Permalink
Hallo Norbert

danke für deine Antwort, am Freitag hatte der DC die Richtlinie scheinbar
noch nicht. Habe eben geschaut und alles ist prima.

Kann oder sollte ich in der DDCP auch nur "NTLM v2 Antworten zulassen, LM
und NTLM verweigern" konfigurieren oder ist hier die Standardeinstellung
"Nur NTLM- Antworten senden" die bessere? Es handelt sich um ein reines
Windows Server 2003 / XP Pro Netzwerk
--
Danke & Gruß
André
Norbert Fehlauer [MVP]
2007-12-10 12:32:16 UTC
Permalink
"André Partecke" <***@media-service-SCHICK-DEN-SPAM-HIER-HER.com>
schrieb
Hi,
Post by André Partecke
Kann oder sollte ich in der DDCP auch nur "NTLM v2 Antworten zulassen, LM
und NTLM verweigern" konfigurieren oder ist hier die Standardeinstellung
"Nur NTLM- Antworten senden" die bessere? Es handelt sich um ein reines
Windows Server 2003 / XP Pro Netzwerk
Hmm gute Frage. Versuchs doch einfach. Fehler wirst du dann im Zweifel ja
darauf zurückführen können. ;)
Ein Beispiel wäre bspw. das hier:
http://support.microsoft.com/kb/890761/en-us

Bye
Norbert

Loading...