Seguridad detrás de la característica "Seguridad de Windows"

Question

Seguridad detrás de la característica "Seguridad de Windows"

#1 de SilverlightFox (1 votos)

2

Dentro del mecanismo de autenticación de seguridad de Windows activo, hay casos en que aparece la ventana emergente de inicio de sesión del usuario. ¿Se envían este nombre de usuario y contraseña cifrados o se envían como texto sin formato como lo hace el protocolo auth-basic?

Escribí una pregunta más detallada aquí:

enlace

porque este sitio no funcionaba antes.

Si entendí bien la siguiente respuesta:

¿Qué tan segura es la autenticación integrada de Windows para IIS SMTP? ?

El hecho se basa en el protocolo que realiza la solicitud, pero dudo que el protocolo establecido en la barra de direcciones (http | https) se tenga en cuenta cuando se solicita el encabezado ("Autenticación WWW"). Dado que esa respuesta fue para SMTP, todavía tengo dudas sobre HTTP.

¿Podría alguien confirmar qué tan seguro es, por favor? Gracias de antemano por su tiempo.

passwords windows ntlm

pregunta manou 12.06.2015 - 13:30

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords windows ntlm

Para los atacantes que buscan lanzar arp spoof en un objetivo, ¿el ataque tiene que ocurrir en tiempo real? Justificación del primer factor fuerte en el contexto de la autenticación multifactor, más allá de las contraseñas

score 1 · Accepted Answer

Si tiene Autenticación de Windows en IIS, está efectivamente permitiendo los siguientes protocolos:

NTLM
Kerberos
Negociar, que elige automáticamente uno de los anteriores para usar.

Si son sus usuarios de Internet los que reciben el aviso, es muy probable que no se autentiquen con Kerberos a menos que tenga servidores de autenticación de tickets y autenticación de internet. Por lo tanto, la respuesta derivada del hash NTLM se enviará por cable como texto simple. Sin embargo, esto no expone la contraseña en sí, pero el desafío / respuesta puede ser olfateado . También sería posible interceptar y / o modificar la sesión mientras está en tránsito.

Para asegurar esto, debe implementar SSL / TLS para que su servidor encripte la conexión, tendrá una URL de HTTPS. Esto evitará cualquier intercepción por parte de los interceptores de información de la conexión y la autenticación por parte de Man-In-The-Middle.