Meu cenário é que tenho um site configurado via IIS no Windows Server 2012 R2 Standard usando a Autenticação do Windows que foi detectada como vulnerável a um ataque NTLMv1 e, portanto, estou procurando desativá-lo e permitir somente o NTLMv2.
De minha pesquisa sobre esse tópico e encontrei muitas informações úteis, como " Logon anônimo "vs" NTLM V1 "O que desativar? e link
A partir desses links e de outros semelhantes, a única resposta normalmente fornecida é ter um valor de registro em HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa denominado LmCompatibilityLevel e ajustá-lo. Eu tentei definir isso para o valor 5, que é Os clientes usam somente a autenticação NTLMv2 e usam a segurança da sessão NTLMv2 se o servidor oferecer suporte a ela. O controlador de domínio recusa as respostas de autenticação LM e NTLM, mas aceita o NTLMv2.
No entanto, quando faço isso, ainda consigo me conectar ao site com êxito usando minhas credenciais do Windows de outro servidor que configurei para definir LmCompatibilityLevel como 0, que deve usar / permitir somente LM / NTLM .
A forma como detectei que está a utilizar a autenticação NTLMv1 é através dos Registos de Segurança do Windows.
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
Quando defino o valor do registro como 3 ou superior no servidor cliente antes da conexão, o valor do Nome do pacote se torna NTLM V2.
Alterei também a Segurança de Rede Local e de Grupo Segurança de rede: nível de autenticação do LAN Manager para Enviar apenas resposta NTLMv2. Recusar LM & NTLM mas eu entendo pelo meu teste que estas são interfaces essencialmente diferentes para a mesma configuração.
Alguém já experimentou isso ou sabe se há uma configuração diferente que eu estou perdendo que eu preciso mudar?
Da minha experiência, enfrentei isso porque defini o ntlm.auth.domain com nome de domínio incorreto ao configurar o NTLMv2 (Configured an authentication in 2008 R2).
Encontrou a solução no post @Silvio Meier (2. pitfall), que descreve melhor uma questão: link
3 envia apenas NTLMv2, mas aceita LM, NTLMv1 e NTLMv2. link
Caso alguém tenha o mesmo problema no futuro, parece que essa configuração foi sobrescrita por uma configuração do Controlador de Domínio mais baixa. Ao definir o Controlador de Domínio para o nível 5 (Enviar somente resposta NTLMv2. Recusar LM e NTLM), ele recusa as conexões NTLM v1.
Se editamos o registro e reiniciamos o computador, a configuração também foi substituída pela reinicialização, portanto, apenas a edição das configurações do Controlador de Domínio conseguiu o resultado necessário de recusar conexões NTLMv1.
Tags vulnerability ntlm