Re: Zugriff einschrdnken

Tech-Archive recommends: Repair Windows Errors & Optimize Windows Performance

From: Ulf B. Simon-Weidner [MVP] (nospam2-ulf_at_usw-consulting.com)
Date: 09/29/04 

Date: Wed, 29 Sep 2004 05:02:39 -0700

Hallo Holger,

Neben der verwendung von IPSec (wie bereits von Nils geschrieben) gibt
es noch eine Möglichkeit, die aber kein 100% Ziel verspricht (dafür
weniger aufwendig ist):

Du könntest auf allen Servers einstellen, das diese nur noch Kerberos
und NTLMv2 Autentifizierung akzeptieren. Kerberos funktioniert
ausschliesslich zwischen Computern und Benutzern die Mitglied der
Domäne sind, NTLMv2 ist standardmäßig auf keinem heutigen
Betriebssystem eingeschaltet. Natürlich hätte ein Mitarbeiter mit dem
notwendigen Skill die Möglichkeit NTLMv2 auf dem selbstaufgesetzten
Rechner zu aktivieren, aber wer weiss das schon das es daran liegt ;-)

Allerdings müsstest Du Server, auf die über eine DOS-Bootdiskette
zugegriffen werden muss (z.B. um Rechner aufzusetzen) von dieser Policy
ausnehmen, da hier LM-Authentifizierung notwendig ist.

Ein weiterer Punkt wie Du es den Rechnern schwieriger machen kannst,
ist indem Du eine DHCP-ClassID für alle Mitglieder der Domäne setzt,
und nur über die richtige ClassID die richtigen Optionen wie DNS-Server
& Co mitgibst. Damit hätten Fremdrechner auch das Problem das sie zwar
eine IP-Adresse bekommen, aber nicht die gültigen Optionen um mit dem
Netzwerk zu reden.

SICHER ist ausschliesslich das ganze über IPSec zu machen, aber u.U.
kann man es mit den beschriebenen Möglichkeiten auch ohne IPSec den
Benutzern erheblich erschweren. 

-- 
Gruesse - Sincerely,
Ulf B. Simon-Weidner
  MVP-Book "Windows XP - Die Expertentipps":  http://tinyurl.com/44zcz
  Weblog: http://msmvps.org/UlfBSimonWeidner
  WebSite: http://www.windowsserverfaq.org
"Holger Spindler" <hspindler@gmx.de> wrote in message 
news:#ni$nVfpEHA.648@tk2msftngp13.phx.gbl:
  [Formerly appended fullquote was nuked by morver,
                         the versatile morphing server.]

Relevant Pages

  • Re: Passwords with Lan Manager (LM) under Windows
    ... I already said why you can't pre-compile NTLMv2: The hash generated for the ... As I said earlier "Kerberos support with IPsec" And by this yes ...
    (Pen-Test)
  • Re: MSFT Bans insecure hashes - was"Passwords with Lan Manager (LM) under Windows"
    ... After I pointed out that "IPsec based auth" is not a basic netlogon ... authentication protocol like Kerberos, LM, NTLM and NTLMv2, you said I was ... based auth" to authenticate the request as opposed to LM, NTLM, or NTLMv2. ... Up to 75% of cyber attacks are launched on shopping carts, forms, ...
    (Pen-Test)
  • RE: Passwords with Lan Manager (LM) under Windows
    ... First "You can't precompile that data into a rainbow, ... As I said earlier "Kerberos support with IPsec" And by this yes ... Passwords with Lan Manager under Windows ...
    (Pen-Test)
  • Re: IPSec without encryption between intranet and standalone
    ... I've also unassinged the IPSec polcy and instantly the 'lag' disappears ... I was not aware I could enter a nonsense string as a shared ... security associations (Kerberos and talk of shared key). ... If I used a sharedkey how ...
    (microsoft.public.win2000.security)
  • Re: Microsoft IPSec via group policy
    ... IPsec could accomplish this. ... packets containing Kerberos hashes that are sent over the network between ... However you could build a CUSTOM Policy (without ... Requiring ipsec between a client and a DC via GPO is problematic. ...
    (Security-Basics)