Назад | Перейти на главную страницу

Модель безопасности Windows 7 - различия между Windows XP и Active Directory

У меня есть процедура Delphi для проверки учетных данных пользователя в моей системе, интегрированной с Active Directory.

В Windows XP / 2000, когда пользователь представляет неверные учетные данные, программа / система работает должным образом. В системе Windows 7 процедура не проверяет учетные данные и позволяет пользователю продолжить работу без проверки.

Это похоже на ошибку в том, как ваше приложение обрабатывает логины / аутентификацию, похоже, что оно может использовать тип аутентификации, который он не понимает, и `` терпит неудачу '', позволяя пользователям войти.

Windows 7 (и Vista) изменили множество настроек и значений по умолчанию, связанных с безопасностью и аутентификацией. Например, по умолчанию 7 больше не отправляет аутентификацию LanManager или NTLMv1, а отправляет только NTLMv2. Мы наблюдали странное поведение сторонних приложений, которые проходят аутентификацию в AD с использованием модулей Java, которые были прослежены до этого.

Самый простой способ проверить - вернуть 7 компьютеров к поведению XP (когда он пытается аутентифицироваться с помощью NTLMv2, а затем возвращается к менее безопасным протоколам, если это не понимается приложением).

Ключ реестра для понижения уровня безопасности входа в систему до уровня XP:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LmCompatibilityLevel"=dword:00000001

(LmCompatibilityLevel по умолчанию для win7 равен 3)

В качестве альтернативы вы можете установить то же самое с помощью объектов групповой политики. Требуемый параметр политики находится в Конфигурация компьютера> Параметры Windows> Параметры безопасности> Локальные политики> Параметры безопасности и называется «Сетевая безопасность: уровень проверки подлинности LAN Manager».

Очевидно, что на самом деле вам следует делать это только для тестирования, вы не хотите оставлять своих клиентов на более низком уровне безопасности в долгосрочной перспективе без полного понимания рисков.

Здесь вы найдете хорошее описание этих настроек аутентификации: TechNet Самый неправильно понимаемый параметр безопасности Windows за все время. Подробнее о изменения в NTLM-аутентификации доступны здесь.