Cum să scapi de NTLM

NT LAN Manager (NTLM) a fost introdus cu Windows NT și este încă utilizat în rețele care includ clienți pre-Windows XP sau versiuni anterioare Windows 2000 Server. Este, de asemenea, utilizat în rețele de grupuri de lucru atunci când autentificarea Kerberos nu poate fi negociată. Cu toate acestea, autentificarea NTLM nu este la fel de sigură ca și autentificarea Kerberos, deci dacă configurați o rețea care necesită securitate extremă și includeți controlori de domeniu care execută Windows Server 2008 R2 și clienții care execută Windows 7, este Poate doriți să restricționați utilizarea NTLM .

Veți avea nevoie de:
  • Un controler de domeniu care execută Windows Server 2008 R2
  • Cont utilizator care este membru al grupului de administratori de domeniu
Pași de urmat:

1

Faceți clic pe butonul "Start". Alegeți din meniu elementul "Instrumente administrative", apoi faceți clic pe meniul "Gestionarea politicii de grup" pentru a deschide "Consola de gestionare a politicii de grup".

2

Extindeți nodul pentru "Active Directory", urmat de "domeniul" nodului, nodul de domeniu și "controlerele de domeniu". Selectați opțiunea "controlere de domeniu implicite".

3

Dați clic pe "Controlor de domeniu implicit" și apoi alegeți opțiunea "Editați" din meniu.

4

Extindeți nodurile "Politică" din "Configurarea computerului". Extindeți nodul "Configurație Windows", urmat de "Configurație de securitate" și de la "Politici locale". Selectați opțiunea "Opțiuni de securitate".

5

Derulați prin lista de configurare a politicii pentru a găsi setarea de politică "Rețea de securitate: restricționați autentificarea NTLM în acest domeniu". Faceți dublu clic pe el pentru a deschide caseta de dialog "Setări pentru politica de securitate".

6

Bifați caseta de selectare "Definiți această configurație".

7

Selectați "Denegeți conturile de domeniu pe serverele de domeniu" din lista verticală dacă doriți să împiedicați utilizatorii domeniului să autentifice serverele din domeniu utilizând NTLM. Selectați "Deny for account domain" din lista derulantă dacă doriți să împiedicați utilizatorii să utilizeze autentificarea NTLM. Selectați "Deniți pentru serverele de domeniu", dacă doriți să evitați utilizarea serverelor de domeniu pentru autentificarea NTLM. Selectați "Deny" pentru a evita autentificarea NTLM.

8

Faceți clic pe butonul "Accept" pentru a accepta modificarea. Veți fi avertizat că ajustarea ar putea afecta compatibilitatea cu clienții, serviciile și aplicațiile. Faceți clic pe butonul "Da".

9

Faceți clic pe butonul "Închidere" din bara de titlu a "Editorului politicilor de grup", apoi faceți clic pe butonul "Închidere" din bara de titlu a "Consolei de gestionare a politicii de grup".

sfaturi
  • Dacă una sau mai multe computere trebuie să se autentifice utilizând NTLM, puteți activa opțiunea de setare a politicii "Restricționați NTLM: Adăugați excepții de server în acest domeniu" și adăugați computerul în listă.
  • Pentru a afla dacă NTLM este utilizat în rețeaua dvs., vă recomandăm să permiteți "securitatea rețelei: auditul autentificării NTLM în acest domeniu" și "Securitatea rețelei: trafic de audit NTLM primite" înainte de restricția NTLM.
  • Puteți găsi informații detaliate despre fiecare setare de politici în fila "Explicați" din caseta de dialog "Setări de politică".
  • Dezactivarea NTLM poate avea rezultate neașteptate. Monitorizați rețeaua înainte și după dezactivarea NTLM pentru a crea excepțiile necesare și pentru a reduce timpii de întrerupere.