اطمینان حاصل کنید که از احراز هویت Kerberos در ویندوز استفاده شده و از پروتکل احراز هویت NTLM استفاده نشود. (Not Scored)
Profile Applicability
• Level 1 (L1) – Corporate/Enterprise Environment (general use)
Description
اگر از مکانیزمهای احراز هویت ویندوز در شیرپوینت استفاده شده باشد، سیستم باید به گونه ای پیکربندی شود که از پروتکل احراز هویت Kerberos به جای NT Lan Manager (NTLM) استفاده کند.
Rationale
چند عامل وجود دارد که در آنها Kerberos برتر از احراز هویت NTLM است و در واقع به جای آن ترجیح داده میشود. اولاً، Kerberos احراز هویت سریعتر را ارائه میدهد زیرا برای انجام کارهای احراز هویت به چندین سرور و مؤلفه مانند احراز هویت NTLM احتیاج ندارد. دوم، Kerberos احراز هویت دو طرفه را ارائه میدهد. Kerberos میتواند کلاینت را برای سرور و مهمتر از آن، سرور را نیز برای کلاینت تأیید کند.
Audit
- Central Administration را اجرا کنید.
- روی Application Management و سپس Manage web applications کلیک کنید.
- در Authentication Providers روی هر zone در دسترس کلیک کنید.
- زیر پاپ آپ Authentication Providers – Zone تایید کنید تیک Integrated Windows authentication انتخاب شده و Negotiate (Kerberos) انتخاب شده باشد.
Remediation
- Central Administration را اجرا کنید.
- روی Application Management و سپس Manage web applications کلیک کنید.
- در Authentication Providers روی هر zone در دسترس کلیک کنید.
- زیر پاپ آپ Authentication Providers – Zone تیک Integrated Windows authentication را بزنید و Negotiate (Kerberos) را انتخاب کنید.
مطالب این بخش توسط جناب آقای نوربخش تهیه شده است.
