Як позбутися від NTLM

NT LAN Manager (NTLM) був введений з Windows NT і до цих пір використовується в мережах, які включають клієнти або версії перед Windows XP до Windows 2000 Server. Він також використовується в мережах робочих груп, коли аутентифікацію Kerberos неможливо обговорити. Однак автентифікація NTLM не є настільки безпечною, як аутентифікація Kerberos, тому, якщо ви налаштовуєте мережу, яка вимагає надзвичайної безпеки, і включаєте контролери домену, які працюють під керуванням Windows Server 2008 R2, а клієнти працюють під керуванням Windows 7, це Можливо, ви захочете обмежити використання NTLM .

Вам знадобляться:
  • Контролер домену, на якому запущено Windows Server 2008 R2
  • Обліковий запис користувача, що входить до групи адміністраторів домену
Наступні кроки:

1

Натисніть кнопку "Пуск". Виберіть у меню пункт "Адміністративні інструменти", а потім натисніть меню "Управління груповою політикою", щоб відкрити "Консоль керування груповою політикою".

2

Розгорніть вузол для "Active Directory", за яким слідують "домен" вузла, вузол домену і "контролери домену". Виберіть параметр "контролери домену за замовчуванням".

3

Натисніть "За замовчуванням контролери домену", а потім виберіть "Редагувати" у меню.

4

Розгорніть вузли "Політика" у "Конфігурації комп'ютера". Розгорніть вузол "Конфігурація Windows", а потім "Конфігурація безпеки" і вузол "Локальні політики". Виберіть параметр "Параметри безпеки".

5

Прокрутіть список конфігурацій політики, щоб знайти параметр політики "Мережа безпеки: обмежити автентифікацію NTLM у цьому домені". Двічі клацніть на ньому, щоб відкрити діалогове вікно "Параметри політики безпеки".

6

Установіть прапорець у полі "Визначити цю конфігурацію".

7

Виберіть "Заборонити облікові записи домену серверам доменів" у розкривному списку, якщо ви хочете, щоб користувачі домену не використовували автентифікацію серверів у домені за допомогою NTLM. Виберіть "Заборонити обліковий запис домену" у спадному списку, якщо ви хочете, щоб користувачі не використовували автентифікацію NTLM. Виберіть "Заборонити для доменних серверів", якщо ви хочете уникати використання доменних серверів для автентифікації NTLM. Виберіть "Заборонити", щоб уникнути будь-якої автентифікації NTLM.

8

Натисніть кнопку "Прийняти", щоб прийняти зміни. Вас попередить, що коригування може вплинути на сумісність із клієнтами, службами та додатками. Натисніть кнопку "Так".

9

Натисніть кнопку "Закрити" в рядку заголовка "Редактор групової політики", а потім натисніть кнопку "Закрити" в рядку заголовка "Консоль керування груповою політикою".

Поради
  • Якщо один або кілька комп'ютерів потребують автентифікації за допомогою NTLM, можна ввімкнути параметр політики "Обмежити NTLM: додати винятки сервера в цьому домені" та додати комп'ютер до списку.
  • Щоб дізнатися, чи використовується NTLM у вашій мережі, дозвольте до "обмеження мережі NTLM" дозволу "безпеки мережі: аудит автентифікації NTLM у цьому домені" та "Мережева безпека: вхідний трафік аудиту NTLM".
  • Докладні відомості про кожен параметр політики можна знайти на вкладці "Пояснити" діалогового вікна "Параметри політики".
  • Вимкнення NTLM може мати несподівані результати. Контролюйте мережу до і після деактивації NTLM, щоб створити необхідні виключення і зменшити час простою.