Jak pozbyć się NTLM

NT LAN Manager (NTLM) został wprowadzony w systemie Windows NT i nadal jest używany w sieciach obejmujących klientów w wersjach wcześniejszych niż Windows XP lub w wersjach wcześniejszych niż Windows 2000 Server. Jest również używany w sieciach grup roboczych, gdy nie można wynegocjować uwierzytelniania Kerberos. Jednak uwierzytelnianie NTLM nie jest tak bezpieczne jak uwierzytelnianie Kerberos, więc jeśli konfigurujesz sieć, która wymaga ekstremalnych zabezpieczeń i obejmuje kontrolery domeny z systemem Windows Server 2008 R2, a klienci korzystają z systemu Windows 7, to jest to Możesz ograniczyć korzystanie z NTLM .

Będziesz potrzebował:
  • Kontroler domeny z systemem Windows Server 2008 R2
  • Konto użytkownika będące członkiem grupy Administratorzy domeny
Kroki, które należy wykonać:

1

Kliknij przycisk „Start”. Wybierz z menu element „Narzędzia administracyjne”, a następnie kliknij menu „Zarządzanie zasadami grupy”, aby otworzyć „Konsolę zarządzania zasadami grupy”.

2

Rozwiń węzeł „Active Directory”, a następnie „domena” węzła, węzła domeny i „kontrolerów domeny”. Wybierz opcję „domyślne kontrolery domeny”.

3

Kliknij „Domyślne kontrolery domeny”, a następnie wybierz z menu opcję „Edytuj”.

4

Rozwiń węzły „Zasady” w „Konfiguracja komputera”. Rozwiń węzeł „Konfiguracja systemu Windows”, a następnie węzeł „Konfiguracja zabezpieczeń” i „Zasady lokalne”. Wybierz opcję „Opcje zabezpieczeń”.

5

Przewiń listę konfiguracji zasad, aby znaleźć ustawienie zasad „Sieć zabezpieczeń: Ogranicz uwierzytelnianie NTLM w tej domenie”. Kliknij go dwukrotnie, aby otworzyć okno dialogowe „Ustawienia zasad bezpieczeństwa”.

6

Zaznacz pole wyboru „Zdefiniuj tę konfigurację”.

7

Z listy rozwijanej wybierz opcję „Odmawiaj kont domeny do serwerów domeny”, aby uniemożliwić użytkownikom domeny uwierzytelnianie serwerów w domenie za pomocą NTLM. Z listy rozwijanej wybierz „Odmów dla konta domeny”, aby uniemożliwić użytkownikom korzystanie z uwierzytelniania NTLM. Wybierz „Odmów dla serwerów domeny”, jeśli chcesz uniknąć korzystania z serwerów domeny do uwierzytelniania NTLM. Wybierz „Odmów”, aby uniknąć uwierzytelniania NTLM.

8

Kliknij przycisk „Akceptuj”, aby zaakceptować zmianę. Zostaniesz ostrzeżony, że dostosowanie może wpłynąć na zgodność z klientami, usługami i aplikacjami. Kliknij przycisk „Tak”.

9

Kliknij przycisk „Zamknij” na pasku tytułu „Edytora zasad grupy”, a następnie kliknij przycisk „Zamknij” na pasku tytułu „Konsoli zarządzania zasadami grupy”.

Wskazówki
  • Jeśli jeden lub więcej komputerów wymaga uwierzytelnienia przy użyciu NTLM, możesz włączyć opcję ustawienia zasad „Ogranicz NTLM: Dodaj wyjątki serwera w tej domenie” i dodaj komputer do listy.
  • Aby dowiedzieć się, czy NTLM jest używany w sieci, należy rozważyć zezwolenie na „bezpieczeństwo sieci: kontrola uwierzytelniania NTLM w tej domenie” i „Bezpieczeństwo sieci: przychodzący ruch kontroli NTLM” przed ograniczeniem NTLM.
  • Szczegółowe informacje na temat każdego ustawienia zasad można znaleźć na karcie „Wyjaśnij” w oknie dialogowym „Ustawienia zasad”.
  • Wyłączenie NTLM może mieć nieoczekiwane wyniki. Monitoruj sieć przed i po dezaktywacji NTLM, aby stworzyć niezbędne wyjątki i skrócić czas przestoju.