IIS7.5 无法通过 PCI for NTLM 即使它被禁用

Posted 2023-02-19

【中文标题】IIS7.5 无法通过 PCI for NTLM 即使它被禁用

【英文标题】：IIS7.5 fails PCI for NTLM even though it is disabled

【发布时间】：2013-12-11 21:51:59

【问题描述】：

我一定只是遗漏了一些简单的东西，但我终其一生都无法弄清楚为什么一个站点未能通过 PCI 扫描。尤其是“通过 IIS NTLM 身份验证方案可能会暴力破解帐户”。

我已经在网上搜索过，结果一无所获。我找到的一件事在这里：https://sites.google.com/site/pcidssadventures/remediation/86693

这表示要确保将本地策略“下次更改密码时不存储 LAN 管理器哈希值”设置为“启用”。它已经是。

我已通过界面和 apphostconfig 确认 WindowsAuthentication 已禁用，但扫描仍然失败，并且显然失败是有正当理由的 - 它返回 NTLM 错误代码。

我唯一的假设是，即使 NTLM 关闭，IIS 仍会以某种方式响应 NTLM 尝试。任何人都知道我可以如何防止这种情况发生？有人吗？

提前致谢。

【问题讨论】：

抱歉挖掘问题，但您找到解决方案了吗？您还记得它是什么吗？

@Etienne 这个问题有什么好的解决方案吗？

【参考方案1】：

我发现以下解决方案帮助我解决了问题：

一种解决方案是为您的 Web 禁用 NTLM 身份验证 服务器。这可以通过取消选中集成窗口来完成 身份验证。How to do

另一种解决方案是确保帐户锁定策略在 地方。确保之前一定要检查it。

IIS7 修复：

在本地或组策略编辑器中，导航到：：计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 - 启用：网络安全：下次密码更改时不存储 LAN Manager 哈希值。

如果有问题的机器在域中，则可以通过组策略轻松应用此修复。

【讨论】：

也可以勾选这个选项：sites.google.com/site/pcidssadventures/remediation/86693