Durcissement Windows 2000 - Contrôleur de Domaine (DC)

Authentification: Kerberos

• Ne peut être imposé, sauf si la stratégie Ipsec- Secure

Server (Require Security) est assigné à tous les serveurs

du domaine

• Q254728;HKLM\SYSTEM\CCS\Services\IPSEC

– NoDefaultExempt = 1: RSVP et Kerberos Le client et le

serveur doivent se trouver dans la même forêt

• Le client doit désigner le serveur par son nom DNS

– Net use \\IP@\c$ n’utilisera pas Kerberos

• La clé utilisée pour distribuer la clé de session est le hash

du mot de passe de l'utilisateur client

• Renforcer les restrictions: Enforce User Logon Restrictions

• Utiliser la pré-authentification Kerberos

Ipsec: Secure Server (Require Security) impose aux client de s authentifier via Kerberos sur le domaine avant de communiquer par ip avec les serveurs.

Nb: IIS5 en intranet peut utiliser Kerberos avec les clients IE5.x (header HTTP Negotiate)

(IKE, Multicast, and Broadcast) sont tjs pas IPSec

Enforce User Logon Restrictions Cette stratégie empêche les comptes utilisateurs non autorisés ou désactivés d'obtenir un ticket Kerberos

pré-authentification Kerberos (user manager: décocher la case do not require kerberos pre authentication)


	Ipsec: Secure Server (Require Security) impose aux client de s authentifier via Kerberos sur le domaine avant de communiquer par ip avec les serveurs.
	Nb: IIS5 en intranet peut utiliser Kerberos avec les clients IE5.x (header HTTP Negotiate)

		(IKE, Multicast, and Broadcast) sont tjs pas IPSec

		Enforce User Logon Restrictions Cette stratégie empêche les comptes utilisateurs non autorisés ou désactivés d'obtenir un ticket Kerberos

	pré-authentification Kerberos (user manager: décocher la case do not require kerberos pre authentication)