即使已禁用，IIS7.5也会因NTLM而无法通过PCI

Question

我必须忘记一些简单的事情，但我不能为我的生活弄清楚为什么某个网站的PCI扫描失败。它通过IIS NTLM身份验证方案特别失败了＆＃34;帐户暴力。＆＃34;

我已经在网上搜索过了。我找到的一件事就是：https://sites.google.com/site/pcidssadventures/remediation/86693

这就是说确保本地策略＆＃34;不要在下次密码更改时存储LAN Manager哈希值＆＃34;设置为＆＃34;启用。＆＃34;它已经是。

我已通过界面和apphostconfig确认WindowsAuthentication已禁用，但扫描仍然失败并且显然因有效原因而失败 - 它返回NTLM错误代码。

我唯一的假设是，即使NTLM关闭，IIS仍会以某种方式响应NTLM尝试。有谁知道如何防止这种情况发生？任何人吗？

提前致谢。

Answer 1

我在下面找到了帮助我解决问题的解决方案：

• 一种解决方案是禁用Web的NTLM身份验证 服务器。这可以通过取消选中Integrated Windows来完成 身份验证。How to do

• 另一种解决方案是确保帐户锁定策略 地点。在确保之前一定要检查it。

• IIS7修复：

在本地或组策略编辑器中，导航至:: Computer Configuration＆gt;政策＆gt; Windows设置＆gt;安全设置＆gt;地方政策＆gt;安全选项 - 启用：网络安全：不要在下次更改密码时存储LAN Manager哈希值。

如果相关计算机位于域中，则可以通过组策略轻松应用此修复程序。