Kuidas vabaneda NTLMist

NT LAN Manager (NTLM) võeti kasutusele Windows NT-ga ja seda kasutatakse ikka veel võrkudes, mis sisaldavad Windows XP eeliseid kliente või Windows 2000 Serverile eelnevaid versioone. Seda kasutatakse ka töörühmade võrkudes, kui Kerberose autentimist ei saa kokku leppida. Kuid NTLM-i autentimine ei ole nii turvaline kui Kerberose autentimine, nii et kui te konfigureerite võrku, mis vajab äärmist turvalisust ja sisaldab domeenikontrollereid, mis töötavad Windows Server 2008 R2-ga, ja kliendid töötavad Windows 7-ga, on see Võite piirata NTLM-i kasutamist .

Teil on vaja:
  • Domeeni kontroller, mis töötab Windows Server 2008 R2
  • Kasutajakonto, mis kuulub domeenihaldurite rühma
Järgmised sammud:

1

Klõpsake nuppu "Start". Valige menüüst "Administratiivsed tööriistad" üksus ja seejärel klõpsake "Group Policy Management Console" avamiseks menüüs "Group Policy Management".

2

Laiendage "Active Directory" sõlme, millele järgneb sõlme, domeenisõlme ja "domeenikontrollerite" "domeen". Valige suvand "vaikimisi domeenikontrollerid".

3

Klõpsake "Vaikimisi domeenikontrollerid" ja seejärel valige menüüst valik "Muuda".

4

Laiendage "Poliitika" sõlmed "Arvuti konfiguratsioon". Laiendage "Windows Configuration" sõlme, millele järgneb "Security Configuration" ja "Local Policies" sõlm. Valige suvand "Turvalisuse valikud".

5

Leidke poliitikakonfiguratsiooni loend, et leida poliitika seadistus "Turvavõrk: piirata NTLM-i autentimist selles domeenis." Topeltklõpsake seda, et avada dialoogiboks "Turvapoliitika seaded".

6

Märkige ruut "Määrake see konfiguratsioon".

7

Valige rippmenüüst „Deny domeenikontode keelamine domeeniserveritele”, kui soovite, et domeenikasutajad NTLM-i abil domeenis servereid autentima. Kui soovite vältida kasutajate NTLM-i autentimise kasutamist, valige rippmenüüst „Deny for domain account”. Kui soovite vältida domeeniserverite kasutamist NTLM-i autentimiseks, valige „Deny for domain server”. NTLM-i autentimise vältimiseks valige „Keeld“.

8

Muudatuse aktsepteerimiseks klõpsake nuppu "Nõustu". Teid hoiatatakse, et korrigeerimine võib mõjutada ühilduvust klientide, teenuste ja rakendustega. Klõpsake nuppu "Jah".

9

Klõpsake "Group Policy Editor" tiitliribal nuppu "Close" ja klõpsake seejärel "Group Policy Management Console" tiitliribal nuppu "Close".

Nõuanded
  • Kui üks või mitu arvutit peavad NTLM-i abil autentima, saate lubada poliiside seadistamise suvandi „Piirata NTLM: lisada serverisse erandeid selles domeenis” ja lisada arvuti loendisse.
  • Et teada saada, kas NTLM-i teie võrgus kasutatakse, kaaluge enne NTLM-i piirangut lubamist „võrgu turvalisus: selle domeeni NTLM-i autentimise audit” ja „Võrgu turvalisus: sissetulev NTLM-auditiliiklus”.
  • Üksikasjalikku teavet iga poliitikakujunduse kohta leiate dialoogiboksi "Poliitika seaded" vahekaardil "Selgita".
  • NTLM-i keelamine võib põhjustada ootamatuid tulemusi. Jälgige võrku enne ja pärast NTLM-i desaktiveerimist, et luua vajalikud erandid ja vähendada seisakuid.