Архив за день: 2 июня, 2009

>Windows 7: Kill The NTLM!!!

>

windows7 1 Да!!! Уничтожить NTLM, WINS & прочий хлам. Ну ладно, не уничтожить, ибо не всегда это возможно, но хотя бы ограничить их использование. И черт с ним, с WINS – жрать особо не просит, да и разговор про NTLM сейчас более интересен, ибо он – явный кандидат если и не на уничтожение, то, как минимум, на замену Kerberos’ом везде, где это только возможно. Почему? Все очень просто – он менее безопасен, чем Kerberos, а в ряде случаев и более производителен.

Разумеется, по-прежнему существуют случаи, в которых не обойтись без NTLM, такие как:

· сервер, к которому идет обращение, не находится в домене

· клиент или сервер не поддерживает Kerberos

· ну и еще пара случаев.

Тем не менее, как уже говорилось, лучше всего ограничить применение NTLM, где только это возможно, и для этого в Windows 7 и Windows Server 2008 R2 есть ряд улучшений. Улучшения эти не то чтобы позволяют убрать NTLM оттуда, где раньше он был необходим (рабочие группы, обращение к хосту не по имени, и т.д.), но отследить те случаи, когда он используется там, где не нужен, и где можно его заменить на Kerberos, то есть в доменном окружении, а также усилить использование NTLM там, где без него обойтись невозможно.

Для этого в новых системах предусмотрены следующие улучшения:

1) Аудит NTLM

2) Задание порядка поиска в лесу AD

3) Политики блокирования NTLM

Кроме того, выпущена очередная версия так называемого Application Verifier, который может потенциально выявить приложения, которые неправильно используют аутентификацию и, соответственно, если Вы можете влиять на работу этих приложений, то Вы можете что-то исправить. Но эта штука уже больше для разработчиков, чем для администраторов. Впрочем, если Ваш разработчик будет настаивать на том, что «моя программа безупречна, это у тебя все плохо настроено», то как раз самое то средство для доказательства своей правоты.

Более подробно об улучшениях в данной сфере я расскажу в одной из следующих статей.