Kā atbrīvoties no NTLM

NT LAN Manager (NTLM) tika ieviests ar Windows NT un joprojām tiek izmantots tīklos, kas ietver pirms Windows XP klientus vai versijas pirms Windows 2000 Server. To izmanto arī darbgrupu tīklos, kad nevar vienoties par Kerberos autentifikāciju. Tomēr NTLM autentifikācija nav tik droša kā Kerberos autentifikācija, tādēļ, ja konfigurējat tīklu, kuram nepieciešama ārkārtēja drošība, un ietver domēna kontrollerus, kuros darbojas Windows Server 2008 R2, un klienti darbojas ar Windows 7, tas ir Jūs varat ierobežot NTLM lietošanu .

Jums būs nepieciešams:
  • Domēna kontrolieris, kas vada Windows Server 2008 R2
  • Lietotāja konts, kas ir domēna administratoru grupas dalībnieks
Veicamie soļi:

1

Noklikšķiniet uz pogas "Sākt". Izvēlnē atlasiet vienumu "Administratīvie rīki" un pēc tam noklikšķiniet uz "Grupas politikas pārvaldības" izvēlnes, lai atvērtu "Grupas politikas pārvaldības konsoli".

2

Paplašiniet "Active Directory" mezglu, kam seko mezgla "domēns", domēna mezgls un "domēna kontrolieri". Atlasiet opciju "noklusējuma domēna kontrolleri".

3

Noklikšķiniet uz "Noklusējuma domēna kontrolieri" un pēc tam izvēlnē atlasiet opciju "Rediģēt".

4

Paplašiniet "Politikas" mezglus sadaļā "Datora konfigurācija". Paplašiniet "Windows konfigurācijas" mezglu, kam seko "Drošības konfigurācija" un "Vietējās politikas" mezgls. Atlasiet opciju "Drošības opcijas".

5

Ritiniet politikas konfigurāciju sarakstu, lai atrastu politikas iestatījumu "Drošības tīkls: ierobežot NTLM autentifikāciju šajā domēnā." Veiciet dubultklikšķi uz tā, lai atvērtu dialoglodziņu "Drošības politikas iestatījumi".

6

Atzīmējiet izvēles rūtiņu "Definēt šo konfigurāciju".

7

Ja nolūks ir liegt domēna lietotājiem autentificēt domēna serverus, izmantojot NTLM, nolaižamajā sarakstā atlasiet "Aizliegt domēna serverus". Ja nolūks ir liegt lietotājiem izmantot NTLM autentifikāciju, nolaižamajā sarakstā izvēlieties "Aizliegt domēna kontu". Atlasiet "Aizliegt domēna serveriem", ja vēlaties izvairīties no domēna serveru izmantošanas NTLM autentifikācijai. Izvēlieties "Aizliegt", lai izvairītos no NTLM autentifikācijas.

8

Noklikšķiniet uz pogas "Pieņemt", lai pieņemtu izmaiņas. Jums tiks brīdināts, ka korekcija var ietekmēt saderību ar klientiem, pakalpojumiem un lietojumprogrammām. Noklikšķiniet uz pogas "Jā".

9

Noklikšķiniet uz pogas "Aizvērt" "Grupas politikas redaktora" virsrakstjoslā un pēc tam noklikšķiniet uz pogas "Aizvērt" "Grupas politikas pārvaldības konsoles" virsrakstjoslā.

Padomi
  • Ja vienam vai vairākiem datoriem ir nepieciešams autentificēt, izmantojot NTLM, varat iespējot politikas iestatīšanas opciju "Ierobežot NTLM: pievienot šajā serverī serveru izņēmumus" un pievienot datoru sarakstam.
  • Lai noskaidrotu, vai NTLM tiek izmantots jūsu tīklā, pirms NTLM ierobežojuma apsveriet iespēju atļaut tīkla drošību: NTLM autentifikācijas auditu šajā domēnā un tīkla drošību: ienākošo NTLM revīzijas trafiku.
  • Detalizētu informāciju par katru politikas iestatījumu var atrast dialoglodziņa "Politikas iestatījumi" cilnē "Izskaidrot".
  • NTLM atspējošanai var būt negaidīti rezultāti. Monitorējiet tīklu pirms un pēc NTLM deaktivizēšanas, lai izveidotu nepieciešamos izņēmumus un samazinātu dīkstāves.