Active Directory.pdf - Gattner

NTLM-Authentifizierung 299
Windows Server 2008 unterstützt die folgenden drei Methoden der Anfrage/Antwort-Authentifizierung:
• LAN Manager (LM) Die LM-Authentifizierung ist die am wenigsten sichere Form der Anfrage/
Antwort-Authentifizierung. Sie können die LM-Authentifizierung einsetzen, um Kompatibilität
mit älteren Betriebssystemen wie Windows 95 und Windows 98 bereitzustellen, auf denen die
Active Directory-Clienterweiterung nicht installiert ist. Es gibt auch frühere Anwendungen, die
auf diesem Authentifizierungsmechanismus beruhen. Allerdings ist die LM-Authentifizierung das
schwächste Protokoll, da ein Kennwort nach seiner Erstellung und Speicherung für LM in Großbuchstaben
konvertiert wird. Das Kennwort ist auf 14 Zeichen beschränkt, die auf dem Computer
in zwei Hashes aus je sieben Zeichen gespeichert werden.
• NTLM, Version 1 Diese Form der Anfrage/Antwort-Authentifizierung ist sicherer als LM. Sie wird
zum Herstellen von Verbindungen mit Servern unter Microsoft Windows NT mit Service Pack 3
oder früher verwendet. NTLMv1 nutzt die 56-Bit-Verschlüsselung zum Sichern des Protokolls.
• NTLM, Version 2 Dies ist die sicherste Form der Anfrage/Antwort-Authentifizierung. Diese Version
enthält einen sicheren Kanal zum Schutz des Authentifizierungsvorgangs. Sie wird zum Verbinden
mit Servern unter Windows 2000, Windows XP und Windows NT mit Service Pack 4 oder
höher eingesetzt. NTLMv2 nutzt die 128-Bit-Verschlüsselung zum Sichern des Protokolls.
Domänencontroller unter Windows Server 2008 können alle Arten von Authentifizierungsprotokollen
annehmen, einschließlich LM, NTLMv1 und NTLMv2 sowie Kerberos, um die Kompatibilität mit
früheren Betriebssystemen zu gewährleisten. Um sicherzustellen, dass Computer in Ihrem Unternehmen
nur die sichersten Authentifizierungsprotokolle annehmen, können Sie die Gruppenrichtlinien für
die ausschließliche Unterstützung der sichersten Protokolle wie NTLMv2 und Kerberos konfigurieren.
Windows Server 2008 stellt die folgenden beiden Optionen zum Verbessern der Authentifizierungssicherheit
über die Gruppenrichtlinien bereit. Beide Optionen stehen im Abschnitt Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Lokale
Richtlinien\Sicherheitsoptionen
zur Verfügung.
• Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern Standardmäßig
ist diese Option in einer Windows Server 2008-Domäne aktiviert und wird durch die
Standarddomänenrichtlinie durchgesetzt. Das bedeutet, dass die Richtlinie für alle Mitgliedsserver
und für Domänencontroller gilt. Wenn diese Option aktiviert ist, erstellt der Server bei der
nächsten Kennwortänderung des Benutzers keine Kopie des LAN Manager-Kennworthashwerts.
Sicherheitswarnung Wenn Sie LAN Manager-Kennworthashwerte speichern, kann jeder, der Zugriff
auf die AD DS-Datenspeicherdatei erlangt, die Benutzerkennwörter aus der Datei extrahieren. Es empfiehlt
sich, diese Option in einer Windows Server 2008-Domäne niemals zu deaktivieren. Wenn die Option
deaktiviert wurde, stellen Sie fest, ob diese Einstellung für irgendwelche Anwendungen oder Clientbetriebssysteme
erforderlich ist. Wenn bestimmte Server diese Option verlangen, verschieben Sie diese
Server in eine separate OU, und deaktivieren Sie die Option nur für diese OU. Wenn Sie diese Einstellung
von deaktiviert in aktiviert ändern, sollten Sie alle Benutzer zwingen, ihre Kennwörter zu ändern, damit alle
LAN Manager-Hashes aus dem AD DS-Datenspeicher gelöscht werden.
• Netzwerksicherheit: LAN Manager-Authentifizierungsebene Diese Einstellung gibt die Mindestebene
für die Authentifizierung an, die von allen Clients im Netzwerk unterstützt werden muss.
Die Konfigurationsoptionen sind in Tabelle 8.2 aufgeführt.