【问题标题】:IIS7.5 fails PCI for NTLM even though it is disabledIIS7.5 无法通过 PCI for NTLM 即使它被禁用
【发布时间】:2013-12-11 21:51:59
【问题描述】:

我一定只是遗漏了一些简单的东西,但我终其一生都无法弄清楚为什么一个站点未能通过 PCI 扫描。尤其是“通过 IIS NTLM 身份验证方案可能会暴力破解帐户”。

我已经在网上搜索过,结果一无所获。我找到的一件事在这里:https://sites.google.com/site/pcidssadventures/remediation/86693

这表示要确保将本地策略“下次更改密码时不存储 LAN 管理器哈希值”设置为“启用”。它已经是。

我已通过界面和 apphostconfig 确认 WindowsAuthentication 已禁用,但扫描仍然失败,并且显然失败是有正当理由的 - 它返回 NTLM 错误代码。

我唯一的假设是,即使 NTLM 关闭,IIS 仍会以某种方式响应 NTLM 尝试。任何人都知道我可以如何防止这种情况发生?有人吗?

提前致谢。

【问题讨论】:

  • 抱歉挖掘问题,但您找到解决方案了吗?您还记得它是什么吗?
  • @Etienne 这个问题有什么好的解决方案吗?

标签: iis-7.5 pci-dss pci-compliance


【解决方案1】:

我发现以下解决方案帮助我解决了问题:

  • 一种解决方案是为您的 Web 禁用 NTLM 身份验证 服务器。这可以通过取消选中集成窗口来完成 身份验证。How to do

  • 另一种解决方案是确保帐户锁定策略在 地方。确保之前一定要检查it

  • IIS7 修复:

在本地或组策略编辑器中,导航到::计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 - 启用:网络安全:下次密码更改时不存储 LAN Manager 哈希值。

如果有问题的机器在域中,则可以通过组策略轻松应用此修复。

【讨论】:

猜你喜欢
  • 1970-01-01
  • 2021-07-17
  • 1970-01-01
  • 1970-01-01
  • 2020-07-07
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多