Compartir a través de

Default domain policy y politicas NTLM

Anónimas
2024-09-25T20:57:05+00:00

En son de querer evitar un posible ataque de replay NTLM, estuve buscando información sobre como desactivar NTLM y como hacer esto en un servidor controlador de dominio. Pues bien, tanto en foros como en paginas web de microsoft, se indica que debemos entrar y hacer las políticas de grupo y cambiar ciertos valores.

Tenia duda de donde aplicar el cambio, sin embargo como todo hacia referencia a la politica default domain policy, pues lo aplique en esta ("gran error"); Y a que a pesar de las advertencias que indicaban que algunas aplicaciones podrían dejar de funcionar y que la gran mayoría de aplicaciones que usan este protocolo eran antiguos antiguos (ademas que el mismo microsoft indica que se va a quitar de windows 11), aplique las politicas.

Gran sorpresa me lleve, ya que las deje de tener acceso a carpetas compartidas y a escritorio remoto; que a mi parecer son herramientas básicas y que si o si deben funcionar. También deje de tener acceso a las carpetas compartidas de samba, pero esto es tema y aparte.

Si bien, en la sana teoria restablecer las 3 o 4 políticas que active no debiera ser gran problema, si que representa una molestia el que esto no funcione; trate de poner las reglas en not defined; pero no pude lograr el acceso de nuevo. Probé una y otra política, activa, no activa, permitiendo ciertos valores y desactivando en orden y desorden lo que había habilitado inicialmente.

Al final no pude hacer que la politica por default trabaje como inicialmente si trabajaba, es decir, con valores predeterminados. Creo incluso que quede mas inseguro que al principio, ya que tuve que poner valores como allow all.

Las politicas corresponden a:

network security: Restrict NTLM: incoming NTLM traffic,

network security: restrict NTLM:NTLM authentication in this domain,

network security: Restrict NTLM:Outgoin NTLM to remote server

No entiendo el comportamiento de la política; es como si al activar la política inicialmente, se activara una opción adicional, que no permite ahora desactivarla, o al menos colocarla como not defined.

Así poder probar con otra política que no sea la default. "Que duro es aprender de golpe".

Entiendo que al desactivar NTLM y querer usar por ejemplo kerberos, deberia revisar y configurar cosas adicionales, en equipos de terceros, pero porque los mismos servicio de windows que mencione inicialmente dejan de funcionar?

Quisiera restablecer todo (politica default), que me funcione como inicialmente y poder ahora si, probar en una politica personalizada y hacer todas las pruebas correspondientes.

Windows para empresas | Windows Server | Servicios de directorio | Active Directory

Pregunta bloqueada. Esta pregunta se migró desde la Comunidad de Soporte técnico de Microsoft. Puede votar si es útil, pero no puede agregar comentarios o respuestas ni seguir la pregunta. Para proteger la privacidad, los perfiles de usuario de las preguntas migradas son anónimos.

0 comentarios

2 respuestas

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Anónimas
    2024-09-26T06:39:27+00:00

    Esta respuesta se ha traducido automáticamente. Como resultado, puede haber errores gramaticales o expresiones extrañas.

    Hola Jafet saborio,

    Gracias por publicar en los foros de la comunidad de Microsoft.

    1.1 Uso de la Consola de administración de directivas de grupo (GPMC)

    Abra la consola de administración de directivas de grupo.

    Vaya al objeto de directiva de grupo (GPO) en el nivel de controlador de dominio.

    Busque el GPO que ha modificado anteriormente, que suele ser la directiva asociada a la seguridad de red: Restringir NTLM.

    Haga clic con el botón derecho en el GPO y seleccione Editar.

    En el editor, vuelva a cambiar la configuración a Sin configurar o a su valor predeterminado.

    Aplique y guarde los cambios.

    1.2 Copia de seguridad y restauración

    Si anteriormente ha realizado una copia de seguridad de la configuración de la directiva de grupo, ahora puede restaurar directamente a ese estado de copia de seguridad.

    Abra GPMC.

    Busque el GPO de copia de seguridad, haga clic con el botón derecho y seleccione Restaurar.

    Siga las instrucciones del asistente para completar el proceso de restauración.

    1. Pruebe la nueva política paso a paso

    Después de restaurar la configuración predeterminada, le recomendamos que pruebe la nueva política paso a paso para encontrar la configuración más adecuada para su entorno.

    2.1 Creación de una política personalizada

    En GPMC, cree un nuevo GPO.

    Vincule este GPO a la unidad organizativa (OU) en la que se debe aplicar la directiva.

    2.2 Configuración de la política

    En el nuevo GPO, configure la directiva de restricción NTLM que desea probar.

    Habilite y configure cada configuración paso a paso, probando completamente después de cada cambio.

    2.3 Pruebas y verificación

    Pruebe la accesibilidad de servicios como carpetas compartidas y escritorio remoto.

    Asegúrese de que todas las aplicaciones y servicios críticos funcionen correctamente.

    Saludos

    Neuvi

    0 comentarios
  2. Anónimas
    2024-09-26T14:13:10+00:00

    Gracias Neuvi, por su respuesta pronta.

    Con respecto a lo que me indicas, te comento que:

    1.1- Fue lo primero que realice, y si guarda los datos. Pero a nivel se servicios cuando se aplica en las estaciones de trabajo en el servidor, dejan de funcionar los servicios que indique. Como lo explique inicialmente, aunque ponga los valores que tenían inicialmente, de seguro afecto otra cosa por lo cual aunque le ponga esos valores se sigue comportando de la misma manera.

    1.2- Esa es una de las mas obvias, pero no he querido hacerlo ya que me parece algo drástico solo por una política de windows que no quiere comportarse como inicialmente estaba. Es decir, si algo esta desactivado, y le cambio del estado a activo, y veo que no funciona, deberia poder desactivarla de nuevo y volver a tener el comportamiento inicial. Pero en este caso no sucede asi.

    2-El problema es que la política es la predeterminada (default domain policy). Entiendo lo de hacer otra politica, pero no es mi caso, ya que efectivamente, tengo varias politicas por departamento, y agregar otra no varia en nada. Ya que lo que quiero es que la default, sea eso, default y que no afecte nada; sino que sea las otras las que tienen las configuraciones personalizadas.

    Ayer use el comando dcgpofix. que es el de microsoft indica se debe de utilizar para restablecer esta politica a su valor por default. El comando se completo, y confirmo que los valores se restablecieron correctamente. Pero cuando actualice mi maquina con gpupdate, volvi a tener el mismo problema. Sin acceso a carpetas compartidas y escritorio remoto.

    Lo único por el momento que tengo claro, es que por mas que me digan, este protocolo es indispensable todavía, es decir, los mismos servicios de Microsoft lo usan. Creo eso si, que podría desactivarlo por completo, pero que debo hacer cambios en otros valores, políticas, etc, tanto en server, pc, equipos externos y aplicaciones. lo cual se convierte en un gran esfuerzo que en teoría no debía ser, ya que se repite una y otra vez por todo lado, que es un protocolo obsoleto.

    0 comentarios