Discussione:
NT LM Security Support Provider
(troppo vecchio per rispondere)
APA
2004-11-23 15:13:31 UTC
Permalink
Ho un problema con questo servizio. Secondo documentazione Microsoft tale
servizio in ambiente Windows 2003 provvede essenzialmente ai due seguenti
task: Autenticazione, gestione delle "local security policy objects".
La non esecuzione di questo servizio (sui domain controller) dovrebbe quindi
impedire l'accesso al dominio agli utenti che cercano di loggarsi da
macchine Workstation NT.
Tutto ciò non si verifica invece nella rete di test che sto valutando
(Client NT, Server 2003).
Anche con tale servizio stoppato riesco a fare il login da una macchina
Workstation 4.0, sfoglio le risorse condivise.
Ma non dovrebbe essere impossibile ciò?
Andrea Gallazzi [MVP]
2004-11-24 08:28:28 UTC
Permalink
Post by APA
Tutto ciò non si verifica invece nella rete di test che sto valutando
(Client NT, Server 2003).
I motivi possono essere 2.
NT LM non è l'unica autenticazione supportata, per compatibilità con W9X
viene utilizzata ancora l'autenticazione LM. Per ragioni di sicurezza è
possibile disattivarlo.
Esiste inoltre la nuova NT LMv2.
Non credo che il servizio si occupi anche di LM security, ma nel caso
potrebbe essere che tu abbia le credenziali in cache.
Se leggi negli eventi della macchina client puoi vedere se ha problemi a
contattare il server per l'autenticazione.
In questo caso non potrai fare login con utenti non in cache, che non hanno
mai fatto accesso a quella macchina.
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
APA
2004-11-24 08:42:36 UTC
Permalink
Ciao e grazie per la risposta, solo che non riesco a venirne a capo.
Avevo già provato ad effettuare un logon sul client con una utenza appena
creta sul Domain controller , ma anche in questo caso sono riuscito a
completare il logon.
In più volevo dirti che ho provato anche a creare delle GPO che mi settavano
le seguenti regole(sui domain controller):

- Network security: Lan manager authentication level : impostata a "Send LM
& NTLM responses"
- Network security: Lan manager authentication level : impostata a "Send LM
& NTLM - use Ntlmv2 session security if required"
- Network security: Lan manager authentication level : impostata a "Send
NTLM response only"
- Network security: Lan manager authentication level : impostata a "Send
NTLMv2 response only|refuse LM & NTLM"

In tutti i casi sono sempre riuscito ad effettuare il logon, sia con utenti
nuovi che con utenti in cache.
Post by Andrea Gallazzi [MVP]
Post by APA
Tutto ciò non si verifica invece nella rete di test che sto valutando
(Client NT, Server 2003).
I motivi possono essere 2.
NT LM non è l'unica autenticazione supportata, per compatibilità con W9X
viene utilizzata ancora l'autenticazione LM. Per ragioni di sicurezza è
possibile disattivarlo.
Esiste inoltre la nuova NT LMv2.
Non credo che il servizio si occupi anche di LM security, ma nel caso
potrebbe essere che tu abbia le credenziali in cache.
Se leggi negli eventi della macchina client puoi vedere se ha problemi a
contattare il server per l'autenticazione.
In questo caso non potrai fare login con utenti non in cache, che non hanno
mai fatto accesso a quella macchina.
Ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2004-11-24 11:54:01 UTC
Permalink
Post by APA
In più volevo dirti che ho provato anche a creare delle GPO che mi
Forse non si sono ancora replicate.
Fai un GPUPDATE.
Post by APA
In tutti i casi sono sempre riuscito ad effettuare il logon, sia con
utenti nuovi che con utenti in cache.
Dipende questo problema su quanti controller ce l'hai.
Basta uno funzionante o che accetti LM.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
APA
2004-11-24 13:50:45 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Post by APA
In più volevo dirti che ho provato anche a creare delle GPO che mi
Forse non si sono ancora replicate.
Fai un GPUPDATE.
Post by APA
In tutti i casi sono sempre riuscito ad effettuare il logon, sia con
utenti nuovi che con utenti in cache.
Dipende questo problema su quanti controller ce l'hai.
Basta uno funzionante o che accetti LM.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Il problema nasce proprio da questo,
unico domain controller 2003 (gpudate /force) per ogni cambiamento di
regola, ho fatto anche dei riavvii per ogni applicazione di policy del
domain controller e comunque da RoP risulta che la policy sia applicata.
Comunque rimane il fatto che il client NT (ho provato anche a reinstallare
il client con impostazioni di default ) continua comunque ad effettuare il
logon.
In conclusione può un client NT SP6 A dove non è stato modificato il valore
di KEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
(art Q147706) consentire ad un utente di effettuare da esso il login
utilizzando un DC 2003 dove è impostata la GPO "Network security: Lan
manager authentication level : impostata a "Send NTLMv2 response
only|refuse LM & NTLM" ?
"
Andrea Gallazzi [MVP]
2004-11-24 16:34:09 UTC
Permalink
Post by APA
In conclusione può un client NT SP6 A dove non è stato modificato il
valore di KEY_LOCAL_MACHINE\System\CurrentControlSet\control\LSA
(art Q147706) consentire ad un utente di effettuare da esso il login
utilizzando un DC 2003 dove è impostata la GPO "Network security: Lan
manager authentication level : impostata a "Send NTLMv2 response
only|refuse LM & NTLM" ?
"
Occhio che il DC deve essere su livello 5 e non 3 come hai detto tu.
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q239869
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
APA
2004-11-25 08:58:14 UTC
Permalink
E' la prima impostazione che ho provato.....
Le altre le ho provate solo per vedere se c'erano delle differenze.... ma a
quanto pare, almeno nel mio ambiente (comunque installazioni di default) il
client NT riesce ad effettuare il login anche se la gpo sul Dc 2003 è
impostata su "Network security: Lan manager authentication level : impostata
a "Send
NTLMv2 response only|refuse LM & NTLM"
a meno che tale voce di GPO non sia quella che corrisponde poi alla chiave
registry alla quale tu accenni
( Level 5 - Domain controllers refuse LM and NTLM responses (accept only
NTLM 2). Clients use NTLM 2 authentication, use NTLM 2 session security if
the server supports it; domain controllers refuse NTLM and LM authentication
(they accept only NTLM 2)
Voglio dire: La GPO è impostata ma poi se dopo l'applicazione (gpupdate
/Force) vado a verificare la chiave che tu mi dici, il valore di
NtlmMinClientSec è impostato a "0x00000000" come se nulla fosse successo.
Allora mi chiedo: non è che questa voce non è gestibile da GPO ma bisogna
valorizzarla a mano?
Se così fosse allora a che serve quella GPO?
Post by Andrea Gallazzi [MVP]
Occhio che il DC deve essere su livello 5 e non 3 come hai detto tu.
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q239869
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2004-11-25 12:53:27 UTC
Permalink
"Send
Dipende dove lo hai impostato.
Il problema sta su tutti e 2.
Devi impostare il Send sul client e il Receive sul DC.
Non ho capito bene come hai impostato la cosa e ti ricordo che è possibile
abilitare NTLMv2 anche su un server NT4, basta avere SP4 attivato.
http://www.windowsnetworking.com/kbase/WindowsTips/WindowsNT/RegistryTips/Password/NTLMv2NTAuthenicationinNTandWin9xclients.html
Quindi non vedo il problema.

Ma tu che vuoi fare?
Stai cercando di non far funzionare l'autenticazione per avere conferma che
vada in NTLMv2?
Allora imponi il send al client NT a 0 e il valore 5 al DC.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2004-11-25 15:55:37 UTC
Permalink
possibile abilitare NTLMv2 anche su un server NT4, basta avere SP4
attivato.
Attivato... :-(
Ma cosa mi sono bevuto?
Volevo dire istallato. :-D
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
APA
2004-11-25 16:14:51 UTC
Permalink
Capisco che non sono riuscito a spegarmi bene, anche a cusa della mia
parziale conoscenza del problema stesso.
Comunque cerco di riassumere la mia problematica:
Devo verificare quale protocollo viene utilizzato per il dialogono in fase
di login tra un client nt 4 sp6a ed un DC windows 2003 (mixed mode) e non
posso basarmi solo sul fatto che ci sia una chiave impostata su di un certo
valore oppure no, devo averne la "prova". E comunque, ripeto, anche creando
delle gpo che mi valorizzano i livelli di dialogo, la cosa non cambia....
ottengo sempre lo stesso risultato :"mi loggo sempre"
Post by Andrea Gallazzi [MVP]
"Send
Dipende dove lo hai impostato.
Il problema sta su tutti e 2.
Devi impostare il Send sul client e il Receive sul DC.
Non ho capito bene come hai impostato la cosa e ti ricordo che è possibile
abilitare NTLMv2 anche su un server NT4, basta avere SP4 attivato.
http://www.windowsnetworking.com/kbase/WindowsTips/WindowsNT/RegistryTips/Password/NTLMv2NTAuthenicationinNTandWin9xclients.html
Post by Andrea Gallazzi [MVP]
Quindi non vedo il problema.
Ma tu che vuoi fare?
Stai cercando di non far funzionare l'autenticazione per avere conferma che
vada in NTLMv2?
Allora imponi il send al client NT a 0 e il valore 5 al DC.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2004-11-25 16:27:07 UTC
Permalink
Post by APA
Devo verificare quale protocollo viene utilizzato per il dialogono in
fase di login tra un client nt 4 sp6a ed un DC windows 2003 (mixed
mode) e non posso basarmi solo sul fatto che ci sia una chiave
impostata su di un certo valore oppure no, devo averne la "prova".
Ok, chiaro.
La prova più tangibile è fare sniffing, oppure utilizzare una macchina pre
SP4.
In questo modo puoi essere sicuro che NTLMv2 non lo supporta.

Altrimenti imposta le chiavi a 0 sul client e 5 su *ogni* DC.
Aspetti o forzi la replica su tutti e non dovrebbe loggarti.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
APA
2004-11-25 16:50:53 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Post by APA
Devo verificare quale protocollo viene utilizzato per il dialogono in
fase di login tra un client nt 4 sp6a ed un DC windows 2003 (mixed
mode) e non posso basarmi solo sul fatto che ci sia una chiave
impostata su di un certo valore oppure no, devo averne la "prova".
Ok, chiaro.
La prova più tangibile è fare sniffing, oppure utilizzare una macchina pre
SP4.
Sniffing, già fatto: ottengo per ogni impostazione di GPO(le ho provate
tutte, una alla volta):
Network security: Lan manager authentication level : impostata a
"Send LM
& NTLM responses"
- Network security: Lan manager authentication level : impostata a
"Send LM
& NTLM - use Ntlmv2 session security if required"
- Network security: Lan manager authentication level : impostata a
"Send
NTLM response only"
- Network security: Lan manager authentication level : impostata a "Send
NTLMv2 response only|refuse LM & NTLM"

che il client negozia una sessione SMB di valore "NT LM 0.12" IN OGNI
CASO!!!! e mi concede di effettuare il logon.
Post by Andrea Gallazzi [MVP]
In questo modo puoi essere sicuro che NTLMv2 non lo supporta.
mi sembra un pò poco "sicuro" come metodo per rilevare il protocollo
utilizzato..... Se non è quello allora per esclusione è quell'altro.....
Post by Andrea Gallazzi [MVP]
Altrimenti imposta le chiavi a 0 sul client e 5 su *ogni* DC.
Aspetti o forzi la replica su tutti e non dovrebbe loggarti.
Ma non dovrebbe farlo la GPO ??? Ripeto, dopo aver applicato la gpo ad
esempio sul DC , continuo ad avere i valori delle chiavi registry sempre
valorizzati a NtlmMinClientSec è impostato a "0x00000000


Comunque ti ringrazio per l'attenzione che stai dando al mio problema, e
capisco che per posta è difficile sia spiegare che interpretare il
problema.....
Non vorrei farti perdere più tempo di quello che reputi giusto dietro
questo problema...
Ciao e buon lavoro.
Andrea Gallazzi [MVP]
2004-11-26 17:18:51 UTC
Permalink
Ho visto che hai iniziato il thread su sicurezza.
Corretto perchè l'argomento è più appropriato, però potevi avvertirmi.
Ho sentito per puro caso Fabrizio che è un mio amico.
Continuiamo di là, lui ha alcune novità.
Però io ti consigno di fare un controllo con un resultant set of policy.
Non vorrei che hai qualche policy in conflitto.
La chiave a quanto pare dovrebbe cambiare in conseguenza all'applicazione.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Continua a leggere su narkive:
Loading...