4

単純な何かが欠けているに違いありませんが、サイトが PCI スキャンに失敗する理由を一生理解できません。具体的には、「IIS NTLM 認証スキームを介したアカウント ブルート フォースの可能性」で失敗しています。

私はウェブを検索し、平らになりました。私が見つけた 1 つのことはここにありました: https://sites.google.com/site/pcidssadventures/remediation/86693

これは、ローカル ポリシーの「次回のパスワード変更時に LAN Manager ハッシュ値を保存しない」が「有効」に設定されていることを確認するためです。それはすでにありました。

インターフェイスと apphostconfig の両方を介して、WindowsAuthentication が無効であることを確認しましたが、スキャンは引き続き失敗し、正当な理由で明らかに失敗します。NTLM エラー コードが返されます。

私の唯一の仮定は、NTLM がオフになっていても、どういうわけか IIS が NTLM の試行に応答するということです。これを防ぐ方法を知っている人はいますか?誰?

前もって感謝します。

4

1 に答える 1

0

問題の解決に役立つ以下のソリューションを見つけました。

  • 1 つの解決策は、Web サーバーの NTLM 認証を無効にすることです。これは、統合 Windows 認証のチェックを外すことで実行できます。実行する方法

  • 別の解決策は、アカウント ロックアウト ポリシーを確実に実施することです。確定前に必ずご確認ください。

  • IIS7 修正:

ローカルまたはグループ ポリシー エディターで、[コンピューターの構成] > [ポリシー] > [Windows の設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション] - [有効]: [ネットワーク セキュリティ: 次回のパスワード変更時に LAN Manager のハッシュ値を保存しない] に移動します。

問題のマシンがドメイン上にある場合、この修正はグループ ポリシーを通じて簡単に適用できます。

于 2018-05-23T10:20:44.233 に答える