Home Search Contact New
[ Up | Back | Next | Home | Search | Contact | New | EdelWeb ]

Durcissement Windows 2000 - Contrôleur de Domaine (DC)

Authentification: Kerberos
Ne peut être imposé, sauf si la stratégie Ipsec- Secure
Server (Require Security) est assigné à tous les serveurs
du domaine
Q254728;HKLM\SYSTEM\CCS\Services\IPSEC
NoDefaultExempt  = 1: RSVP et Kerberos Le client et le
serveur doivent se trouver dans la même forêt
Le client doit désigner le serveur par son nom DNS
Net use \\IP@\c$ n’utilisera pas Kerberos
La clé utilisée pour distribuer la clé de session est le hash
du mot de passe de l'utilisateur client
Renforcer les restrictions: Enforce User Logon Restrictions
Utiliser la pré-authentification Kerberos
Ipsec: Secure Server (Require Security) impose aux client de s authentifier via Kerberos sur le domaine avant de communiquer par ip avec les serveurs.
Nb: IIS5 en intranet peut utiliser Kerberos avec les clients IE5.x (header HTTP Negotiate)

(IKE, Multicast, and Broadcast) sont tjs pas IPSec

Enforce User Logon Restrictions Cette stratégie empêche les comptes utilisateurs non autorisés ou désactivés d'obtenir un ticket    Kerberos

pré-authentification Kerberos (user manager: décocher la case do not require kerberos pre authentication)


webmaster@edelweb.fr  Copyright EdelWeb (C) 1995, 1998