답변:
Windows 관점에서만 :
MaxConcurrentAPI
, AuthPersistSingleRequest
(거짓)을 ., 빠른 DC가) ( 자가 추천 보너스 .)lmcompatibilitylevel
않음)수도 프록시를 통과하지만, 위의 DC 포인트를 볼 수 있습니다 : 당신은 여전히 서버를 수행, 활성 DC와 동일한 네트워크에 있어야합니다 .
티켓은 수명이 긴되는 의미 (10H) 이하 DC 통신 티켓 수명 동안 - 그리고 강조 :이 요청의 수백만 수천을 절약 할 수 클라이언트에 따라 그 수명 기간 동안 - ( AuthPersistNonNTLM
여전히 일; 의 Kerberos PAC 유효성 검사 일이 될하는 데 사용)
UserA
IIS에 액세스하고 IIS가 SQL Server에 액세스 할 때 동일한 사용자 계정을 사용하려면 "인증 위임"입니다.KRB_ERR_AP_MODIFIED
)우리가있는 동안 :
LogonType
이를 위해 구성 할 (2000 년과 2003 년 사이의 네트워크 일반 텍스트로 변경 기본을 생각하지만, misremembering 수 있습니다)요약하면 :
커브는 설정하기 까다로울 수 있지만 프로세스를 단순화하려고하는 가이드 ( 내 가이드 )가 많이 있으며 도구가 2003 년에서 2008 년까지 크게 개선되었습니다 ( SetSPN
중복을 검색 할 수 있습니다. 이것은 가장 일반적인 주요 문제입니다) ; -A 사용 지침이 보이면 언제든지 사용SETSPN -S
하십시오.
제한된 위임은 입장료가 필요합니다.
일반적인 개발자 실수를 감지 하는 Microsoft Application Verifier . 이러한 실수 중 하나는 NTLM을 사용하는 것입니다 .
NTLM은 응용 프로그램과 운영 체제의 보안을 손상시킬 수있는 결함이있는 오래된 인증 프로토콜입니다. 가장 중요한 단점은 서버 인증이 없기 때문에 공격자가 스푸핑 된 서버에 연결하도록 사용자를 속일 수 있습니다. 누락 된 서버 인증의 결과로 NTLM을 사용하는 응용 프로그램은 "반사"공격으로 알려진 공격 유형에 취약 할 수 있습니다. 후자는 침입자가 사용자의 인증 대화를 합법적 인 서버로 하이재킹하고이를 사용하여 사용자의 컴퓨터에 대한 침입자를 인증 할 수 있습니다. NTLM의 취약성과 취약성을 악용하는 방법은 보안 커뮤니티에서 연구 활동을 증가시키는 목표입니다.
Kerberos는 수년 동안 사용 가능했지만 많은 응용 프로그램이 여전히 NTLM 만 사용하도록 작성되었습니다. 이것은 응용 프로그램의 보안을 불필요하게 줄입니다. 그러나 Kerberos는 모든 시나리오에서 주로 NTLM을 대체 할 수 없습니다. 주로 클라이언트가 도메인에 가입되지 않은 시스템 (가장 일반적으로 사용되는 홈 네트워크)에 인증해야하는 시스템입니다. 협상 보안 패키지는 가능할 때마다 Kerberos를 사용하는 이전 버전과 호환 가능한 타협을 허용하며 다른 옵션이없는 경우에만 NTLM으로 되돌아갑니다. NTLM 대신 협상을 사용하도록 코드를 전환하면 응용 프로그램 호환성이 거의 또는 전혀없는 상태에서 고객의 보안이 크게 향상됩니다. 협상 자체는 은총 알이 아닙니다. 공격자가 NTLM으로 강제로 다운 그레이드 할 수 있지만 악용하기가 훨씬 더 어렵습니다. 그러나 협상을 올바르게 사용하도록 작성된 응용 프로그램은 NTLM 리플렉션 공격에 자동으로 영향을받습니다.
NTLM 사용에 대한 최종 경고로 향후 Windows 버전에서는 운영 체제에서 NTLM 사용을 비활성화 할 수 있습니다. 응용 프로그램이 NTLM에 대한 의존성이 높으면 NTLM을 사용할 수 없을 때 인증에 실패합니다.
매우 중요한 점을 추가해야합니다.
NTLM은 20 년 이상 유닉스에서 표준이자 개방형 프로토콜 인 반면 NTLM은 Microsoft의 독점 솔루션으로 Microsoft에만 알려져 있습니다.