tag:blogger.com,1999:blog-3447320322247462829.post5045802388745550378..comments2022-05-27T10:03:36.283+03:00Comments on Alexander Trofimov: Windows 7: Kill The NTLM!!!Alexander Trofimovhttp://www.blogger.com/profile/18188854568993053938noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-3447320322247462829.post-67297324694777680602009-06-15T13:40:43.006+04:002009-06-15T13:40:43.006+04:00Продолжение будет, когда я найду на него время - я...Продолжение будет, когда я найду на него время - я в отпуске и тратиться на блог пока не особо хочется =)<br />Впрочем, если ты думаешь, что в продолжении будет написано о срывании покровов, то ты заблуждаешься - это будет более глубокий взгляд на то, что есть для управления аутентификацией в W7. <br />Если есть вопросы после прочтения ссылки, которую Артем дал (Спасибо, Артем) - велкам в почту.Alexander Trofimovhttps://www.blogger.com/profile/18188854568993053938noreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-54538711166914396162009-06-15T11:28:19.583+04:002009-06-15T11:28:19.583+04:00а можно поинтересоваться, когда будет продолжение?...а можно поинтересоваться, когда будет продолжение?Vadims Podānshttp://www.sysadmins.lvnoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-32185266633279379792009-06-05T11:13:16.154+04:002009-06-05T11:13:16.154+04:00> 3) NTLM is a four-letter word. Kerberos has t...<i>> 3) NTLM is a four-letter word. Kerberos has twice as many letters.</i><br /><br />срыв покровов засчитан!Vadims Podānshttp://www.sysadmins.lvnoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-38015614366326545862009-06-05T01:07:12.452+04:002009-06-05T01:07:12.452+04:00Господа, чего вы спорите? Всё очень просто!
The b...Господа, чего вы спорите? Всё очень просто!<br /><br />The benefits of Kerberos over NTLM are many—these are just a few:<br /><br />1) ...<br />2) ...<br />3) NTLM is a four-letter word. Kerberos has twice as many letters. <br />4) ...<br /><br /><br />А если серьёзно — http://blogs.technet.com/authentication/archive/2006/04/07/ntlm-s-time-has-passed.aspx<br /><br />Там много доводов. (То есть, больше, чем я встречал в любом другом месте. Но это не значит, что других доводов больше нету). Все они более ими менее спорные. Но главное — что оно даёт пищу для размышления.artemhttp://pronichkin.comnoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-50949845599808582872009-06-03T15:29:59.350+04:002009-06-03T15:29:59.350+04:00> Вадим, ты опять за меня решаешь, о чем мне пи...<i>> Вадим, ты опять за меня решаешь, о чем мне писать.</i><br /><br />не решаю, просто заголовок такой получился.<br /><br /><i>> Раз реквестируешь, то расскажу в следующей статье по теме, хотя повторюсь: имхо, ты и без меня все знаешь.</i><br /><br />хочется понадеяться, что будет что-то, чего я ещё не знаю :)<br /><br /><i>> «Разумеется, по-прежнему существуют случаи, в которых не обойтись без NTLM, такие как…»</i><br /><br />если бы только эти случаи были единичные. Но когда эти ситуации присуствтуют массово (взять тот же DNS или VPN на RRAS) и могут очень сильно нам осложнить жизнь, то одного желания избавиться от NTLM как класса будет мало.<br /><br /><i>> 1) Использование NTLM</i><br /><br />это уже интересно :)<br /><br /><i>> 2) Невозможность нормально продиагностировать его использование</i><br /><br />тоже интересно (а зачем? :) )<br /><br /><i>> 3) Невозможность прописать политики вида «вот сюда строго по Krb, а сюда как хочешь»</i><br /><br />а это ещё интересней будет. Хотя, прозреваю, что IPSec тут сможет решить львиную часть проблем.<br /><br />вобщем, пока всё очень туманно, поэтому жду продолжения. И, если это возможно, развернуть, почему надо душить NTLM и продвигать Kerberos (т.е. показать, чем плох первый и чем православен второй). Т.е. чтобы все читатели смогли бы понять аргументацию такого заголовка статьи.Vadims Podānshttp://www.sysadmins.lvnoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-70712278237808138122009-06-03T13:33:06.070+04:002009-06-03T13:33:06.070+04:00Ну то ли я писать не умею, то ли вы, ребята, плох...Ну то ли я писать не умею, то ли вы, ребята, плохо читаете ;) <br />Итак: <br />>>прошу прощения, но это, мягко говоря, неудачный вброс на флейм. Аргументов пока ноль, но криков во много раз больше<br />Вадим, ты опять за меня решаешь, о чем мне писать. Я могу специально для тебя добавлять теги 100, 200, 300, если хочешь. Этот опус – явные сто, в котором и не должно быть для тебя ничего развлекательного, ибо ты и так все это знаешь. =)<br />>>Реквестирую попунктно показать, чем же NTLM так плох<br />Раз реквестируешь, то расскажу в следующей статье по теме, хотя повторюсь: имхо, ты и без меня все знаешь. <br />>> заодно показать, как вы без него будете жить. А очень много где не сможете<br />Процитирую сам себя: «Разумеется, по-прежнему существуют случаи, в которых не обойтись без NTLM, такие как…»<br />То есть, я сразу сказал, что не везде это возможно. То, что я акцентировал внимание на том, что «не везде» вместо «почти везде не» - это моё личное осознанное решение. Можно? =) <br />>> Kerberos совсем не панацея во многих случаях<br />Я где-то сказал, что панацея? Цитату, пожалуйста – я поправлюсь. <br />Руслан, тебя даже цитировать не буду – все правильно, только причем тут моя статья. У меня есть случаи, когда мне мешает: <br />1) Использование NTLM<br />2) Невозможность нормально продиагностировать его использование<br />3) Невозможность прописать политики вида «вот сюда строго по Krb, а сюда как хочешь»<br />А пойнт статьи был в том, что теперь сделан еще один шаг (и не один – например, в Home Group pku2u) для того, чтобы можно было настроить как безопаснее, а не «как получилось».Alexander Trofimovhttps://www.blogger.com/profile/18188854568993053938noreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-40227613439831711302009-06-03T09:55:56.373+04:002009-06-03T09:55:56.373+04:00Уже пробовал эти политики в действии. Могу сказать...Уже пробовал эти политики в действии. Могу сказать лишь, что уход от NTLM в реальной ситуации практически невозможен, да и не особо нужен. Задействован он в крайне большом числе случаев (например, именно по NTLM авторизится DNS-сервер в запускающейся AD - т.е. без NTLM на DC не стартует DNS, притом никак), и уязвимостей не предоставляет никаких. Даже более того - если оставить лишь NTLMv2, то стойкость системы будет выше, чем с "чистым" krb. А в случае использования krb-only фич вида делегирования, в любом случае активируется krb - т.е. опять же, NTLM особо не мешает.Ruslan V. Karmanovnoreply@blogger.comtag:blogger.com,1999:blog-3447320322247462829.post-42452065746543868362009-06-02T23:56:30.424+04:002009-06-02T23:56:30.424+04:00прошу прощения, но это, мягко говоря, неудачный вб...прошу прощения, но это, мягко говоря, неудачный вброс на флейм. Аргументов пока ноль, но криков во много раз больше. Реквестирую попунктно показать, чем же NTLM так плох, а заодно показать, как вы без него будете жить. А очень много где не сможете. Kerberos совсем не панацея во многих случаях. Вобщем, пока как-то уныло :(Vadims Podānshttp://www.sysadmins.lvnoreply@blogger.com