Как избавиться от NTLM

NT LAN Manager (NTLM) был представлен вместе с Windows NT и до сих пор используется в сетях, которые включают клиенты до Windows XP или версии до Windows 2000 Server. Он также используется в сетях рабочих групп, когда невозможно согласовать аутентификацию Kerberos. Однако проверка подлинности NTLM не так безопасна, как проверка подлинности Kerberos, поэтому, если вы настраиваете сеть, требующую максимальной безопасности, и включаете контроллеры домена, работающие под управлением Windows Server 2008 R2, и клиенты, работающие под управлением Windows 7, это Вы можете ограничить использование NTLM .

Вам понадобится:
  • Контроллер домена под управлением Windows Server 2008 R2
  • Учетная запись пользователя, которая является членом группы администраторов домена
Шаги, чтобы следовать:

1

Нажмите на кнопку «Пуск». Выберите в меню пункт «Администрирование», а затем нажмите «Управление групповой политикой», чтобы открыть «Консоль управления групповой политикой».

2

Разверните узел для «Active Directory», а затем «домен» узла, узел домена и «контроллеры домена». Выберите опцию «контроллеры домена по умолчанию».

3

Нажмите «Контроллеры домена по умолчанию», а затем выберите «Изменить» в меню.

4

Разверните узлы «Политика» в разделе «Конфигурация компьютера». Разверните узел «Конфигурация Windows», затем «Конфигурация безопасности» и узел «Локальные политики». Выберите опцию «Параметры безопасности».

5

Прокрутите список конфигурации политики, чтобы найти параметр политики «Сеть безопасности: ограничить проверку подлинности NTLM в этом домене». Дважды щелкните его, чтобы открыть диалоговое окно «Параметры политики безопасности».

6

Установите флажок «Определить эту конфигурацию».

7

Выберите «Запретить учетные записи домена на серверах домена» в раскрывающемся списке, если вы хотите запретить пользователям домена выполнять проверку подлинности серверов в домене с использованием NTLM. Выберите «Запретить учетную запись домена» из раскрывающегося списка, если вы хотите запретить пользователям использовать проверку подлинности NTLM. Выберите «Запретить для серверов домена», если вы хотите избежать использования серверов домена для проверки подлинности NTLM. Выберите «Запретить», чтобы избежать проверки подлинности NTLM.

8

Нажмите на кнопку «Принять», чтобы принять изменения. Вы будете предупреждены, что корректировка может повлиять на совместимость с клиентами, службами и приложениями. Нажмите на кнопку «Да».

9

Нажмите кнопку «Закрыть» в строке заголовка «Редактора групповой политики», а затем нажмите кнопку «Закрыть» в строке заголовка «Консоли управления групповой политикой».

чаевые
  • Если одному или нескольким компьютерам необходимо пройти проверку подлинности с использованием NTLM, можно включить параметр политики «Ограничить NTLM: добавить исключения сервера в этом домене» и добавить компьютер в список.
  • Чтобы выяснить, используется ли NTLM в вашей сети, рассмотрите возможность разрешения «Сетевая безопасность: аудит проверки NTLM в этом домене» и «Сетевая безопасность: входящий трафик аудита NTLM» до ограничения NTLM.
  • Подробную информацию о каждом параметре политики можно найти на вкладке «Объяснение» диалогового окна «Параметры политики».
  • Отключение NTLM может привести к неожиданным результатам. Контролируйте сеть до и после деактивации NTLM, чтобы создать необходимые исключения и сократить время простоя.