避免 NTLM 身份验证方法
Avoid NTLM authentication method
我有一个使用 vb.net 开发的 Web 应用程序。
我的 Web 应用程序使用 Windows 身份验证模式。
安全团队扫描了应用程序并报告了一个问题。
产生问题所遵循的步骤:
1. Type the url in browser (url - https://sample/applicationname) and press Enter
2. Analyze the response using proxy tool 'Fiddler' - which shows that authentication method in NTLM which is insecure.
安全团队给出的建议:
Change authentication method to a more secure one such as Digest, client certificates or similar. Otherwise use an encrypted channel to protect information by implementing HTTPS.
注意:HTTPS 已实施。
请告诉我如何解决这个问题。
提前致谢。
Digest 不如 NTLM 安全,因此您可能想要嘲笑您的安全团队。 Digest 使用 MD5(弱方式)并需要可逆密码。如果您真的想要比 NTLM 更安全,您可能需要配置 kerberos。这些选项因您的 IIS 版本而异。 Google会有你的答案。
我有一个使用 vb.net 开发的 Web 应用程序。 我的 Web 应用程序使用 Windows 身份验证模式。
安全团队扫描了应用程序并报告了一个问题。
产生问题所遵循的步骤:
1. Type the url in browser (url - https://sample/applicationname) and press Enter
2. Analyze the response using proxy tool 'Fiddler' - which shows that authentication method in NTLM which is insecure.
安全团队给出的建议:
Change authentication method to a more secure one such as Digest, client certificates or similar. Otherwise use an encrypted channel to protect information by implementing HTTPS.
注意:HTTPS 已实施。
请告诉我如何解决这个问题。 提前致谢。
Digest 不如 NTLM 安全,因此您可能想要嘲笑您的安全团队。 Digest 使用 MD5(弱方式)并需要可逆密码。如果您真的想要比 NTLM 更安全,您可能需要配置 kerberos。这些选项因您的 IIS 版本而异。 Google会有你的答案。