4

我一定只是遗漏了一些简单的东西,但我一生都无法弄清楚为什么一个站点无法通过 PCI 扫描。它特别失败了“通过 IIS NTLM 身份验证方案可能的帐户蛮力”。

我在网上搜索过,结果很平。我确实找到的一件事是:https ://sites.google.com/site/pcidssadventures/remediation/86693

也就是说,要确保将本地策略“下次更改密码时不存储 LAN Manager 哈希值”设置为“启用”。它已经是。

我已通过界面和 apphostconfig 确认 WindowsAuthentication 已禁用,但扫描仍然失败,并且显然出于正当原因失败 - 它返回 NTLM 错误代码。

我唯一的假设是,即使 NTLM 关闭,IIS 仍然以某种方式响应 NTLM 尝试。任何人都知道我可以如何防止这种情况发生?任何人?

提前致谢。

4

1 回答 1

0

我发现以下解决方案帮助我解决了这个问题:

  • 一种解决方案是禁用 Web 服务器的 NTLM 身份验证。这可以通过取消选中集成 Windows 身份验证来完成。怎么做

  • 另一种解决方案是确保实施帐户锁定策略。在确保之前一定要检查

  • IIS7 修复:

在本地或组策略编辑器中,导航至:计算机配置 > 策略 > Windows 设置 > 安全设置 > 本地策略 > 安全选项 - 启用:网络安全:下次密码更改时不存储 LAN Manager 哈希值。

如果有问题的机器在域中,则可以通过组策略轻松应用此修复程序。

于 2018-05-23T10:20:44.233 回答