Как да се отървем от NTLM

NT LAN Manager (NTLM) бе въведен с Windows NT и все още се използва в мрежи, които включват клиенти преди Windows XP или версии преди Windows 2000 Server. Той се използва също и в мрежите на работните групи, когато Kerberos удостоверяването не може да бъде договорено. Обаче NTLM удостоверяването не е толкова сигурно като удостоверяването на Kerberos, така че ако конфигурирате мрежа, която изисква изключителна сигурност и включва контролери за домейн, които работят под Windows Server 2008 R2, а клиентите използват Windows 7, то е Може да искате да ограничите използването на NTLM .

Ще ви е необходимо:
  • Контролер на домейн, работещ под Windows Server 2008 R2
  • Потребителски акаунт, който е член на групата администратори на домейни
Следващи стъпки:

1

Кликнете върху бутона "Старт". Изберете от менюто елемент "Административни инструменти" и след това кликнете върху менюто "Управление на груповите правила", за да отворите "Конзола за управление на групови правила".

2

Разширете възела за "Active Directory", последван от "домейн" на възела, възела на домейна и "домейн контролерите". Изберете опцията "контролери за домейн по подразбиране".

3

Кликнете върху "Подразбиращи се контролери за домейн" и след това изберете опцията "Редактиране" от менюто.

4

Разширете възлите "Политика" в "Конфигурация на компютъра". Разгънете възел "Конфигурация на Windows", последван от "Конфигурация на защитата" и възел "Местни политики". Изберете опцията "Опции за защита".

5

Превъртете през списъка с конфигурации на правилата, за да намерите настройката за правилата „Мрежа за сигурност: ограничете удостоверяването на NTLM в този домейн“. Кликнете два пъти върху него, за да отворите диалоговия прозорец „Настройки на правилата за защита“.

6

Поставете отметка в квадратчето „Определете тази конфигурация на“.

7

Изберете "Отказ от акаунти за домейни на сървъри на домейни" от падащия списък, ако искате да попречите на потребителите на домейн да удостоверяват сървърите в домейна, използвайки NTLM. Изберете "Отказ за сметка на домейн" от падащия списък, ако искате да попречите на потребителите да използват NTLM удостоверяване. Изберете „Отказ за сървъри на домейни“, ако искате да избегнете използването на сървъри на домейн за удостоверяване NTLM. Изберете „Откажи“, за да избегнете всяка NTLM удостоверяване.

8

Кликнете върху бутона "Приемам", за да приемете промяната. Ще бъдете предупредени, че корекцията може да повлияе на съвместимостта с клиенти, услуги и приложения. Кликнете върху бутона "Да".

9

Кликнете върху бутона "Затвори" в заглавната лента на "Редактор на групови правила" и след това върху бутона "Затвори" в заглавната лента на "Конзолата за управление на групови правила".

съвети
  • Ако един или повече компютри трябва да удостоверят автентичността си чрез NTLM, можете да активирате опцията за настройка на политиката "Ограничаване на NTLM: добавяне на изключения за сървъри в този домейн" и да добавите компютъра към списъка.
  • За да разберете дали NTLM се използва във вашата мрежа, помислете за разрешаване на "мрежова сигурност: одит на удостоверяването NTLM в този домейн" и "Мрежова сигурност: входящ трафик за одит на NTLM" преди ограничението за NTLM.
  • Можете да намерите подробна информация за всяка настройка за политика в раздела "Обясни" в диалоговия прозорец "Настройки на правилата".
  • Деактивирането на NTLM може да доведе до неочаквани резултати. Наблюдавайте мрежата преди и след деактивирането на NTLM, за да създадете необходимите изключения и да намалите времето на престой.