Sécurité réseau : restreindre NTLM : ajouter des exceptions de serveurs dans ce domaine

S’applique à

  • Windows 11
  • Windows 10

Décrit les meilleures pratiques, l’emplacement, les valeurs, les aspects de gestion et les considérations relatives à la sécurité du réseau : Restreindre NTLM : Ajouter des exceptions de serveur dans ce paramètre de stratégie de sécurité de domaine.

Référence

Le paramètre de stratégie Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur dans ce domaine vous permet de créer une liste d’exceptions des serveurs de ce domaine pour lesquels les appareils clients sont autorisés à utiliser l’authentification directe NTLM si l’une des options de refus est définie dans le paramètre de stratégie Sécurité réseau : Restreindre l’authentification NTLM : NTLM dans ce domaine .

Si vous configurez ce paramètre de stratégie, vous pouvez définir une liste des serveurs de ce domaine sur lesquels les appareils clients sont autorisés à utiliser l’authentification NTLM.

Si vous ne configurez pas ce paramètre de stratégie, aucune exception n’est appliquée et si Sécurité réseau : Restreindre NTLM : l’authentification NTLM dans ce domaine est activée, toutes les tentatives d’authentification NTLM dans le domaine échouent.

Répertoriez les noms de serveur NetBIOS comme format de nommage, un par ligne. Un seul astérisque (*) peut être utilisé n’importe où dans la chaîne comme caractère générique.

Valeurs possibles

  • Liste de serveurs définie par l’utilisateur

    Lorsque vous entrez une liste de serveurs dans ce domaine pour lesquels les clients sont autorisés à utiliser l’authentification NTLM, la stratégie est définie et activée.

  • Non définie

    Si vous ne configurez pas ce paramètre de stratégie en définissant une liste de serveurs, la stratégie n’est pas définie et aucune exception ne sera appliquée.

Meilleures pratiques

  1. Tout d’abord, appliquez le paramètre de stratégie Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine , puis examinez le journal des événements opérationnels pour comprendre quels contrôleurs de domaine sont impliqués dans ces tentatives d’authentification afin de pouvoir décider quels serveurs exempter.
  2. Après avoir défini la liste des exceptions de serveur, appliquez le paramètre de stratégie Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine , puis révisez le journal des événements opérationnels avant de définir les stratégies pour bloquer le trafic NTLM.

Emplacement

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Valeurs par défaut

Type de serveur ou GPO Valeur par défaut
Stratégie de domaine par défaut Non définie
Stratégie de contrôleur de domaine par défaut Non définie
Paramètres par défaut du serveur autonome Non définie
Paramètres par défaut effectifs du contrôleur de domaine Non définie
Paramètres par défaut effectifs du serveur membre Non définie
Paramètres par défaut effectifs de l’ordinateur client Non définie

Gestion des stratégies

Cette section décrit les différentes fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.

Exigence de redémarrage

Aucune. Les modifications apportées à cette stratégie prennent effet sans redémarrage lorsqu’elles sont enregistrées localement ou distribuées via stratégie de groupe.

Stratégie de groupe

La définition et le déploiement de cette stratégie via stratégie de groupe sont prioritaires sur le paramètre sur l’appareil local. Si le stratégie de groupe est défini sur Non configuré, les paramètres locaux s’appliquent.

Audit

Affichez le journal des événements opérationnels pour voir si votre liste d’exceptions de serveur fonctionne comme prévu. Les événements d’audit et de blocage sont enregistrés sur cet ordinateur dans le journal des événements opérationnels situé dans Journal des applications et des services\Microsoft\Windows\NTLM.

Aucune stratégie d’audit de sécurité ne peut être configurée pour afficher la sortie de cette stratégie.

Considérations en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

Vulnérabilité

Lorsqu’il a été déterminé que le protocole d’authentification NTLM ne doit pas être utilisé dans un domaine, car vous devez utiliser un protocole plus sécurisé tel que Kerberos, il se peut que le trafic d’authentification NTLM soit toujours présent dans le domaine. Si c’est le cas et que vous définissez Sécurité réseau : Sécurité réseau : Restreindre l’authentification NTLM : NTLM dans ce domaine à l’une des options de refus, toute demande d’authentification NTLM échoue, car le serveur membre direct bloque la requête NTLM.

Si vous définissez une liste d’exceptions de serveurs dans ce domaine pour lesquels les ordinateurs clients sont autorisés à utiliser l’authentification directe NTLM, le trafic d’authentification NTLM continuera à circuler entre ces serveurs, ce qui les rend vulnérables à toute attaque malveillante tirant parti des faiblesses de sécurité dans NTLM.

Contre-mesure

Lorsque vous utilisez Sécurité réseau : Restreindre l’authentification NTLM : NTLM dans ce domaine en mode audit uniquement, vous pouvez déterminer en examinant les applications clientes qui effectuent des demandes d’authentification NTLM aux serveurs d’authentification directe. Une fois évalué, vous devez déterminer au cas par cas si l’authentification NTLM répond toujours au minimum à vos exigences de sécurité.

Impact possible

La définition d’une liste de serveurs pour ce paramètre de stratégie active le trafic d’authentification NTLM entre ces serveurs peut entraîner une vulnérabilité de sécurité.

Si cette liste n’est pas définie et sécurité réseau : Restreindre NTLM : l’authentification NTLM dans ce domaine est activée, l’authentification NTLM échoue sur ces serveurs pass-through dans le domaine qu’ils ont utilisé précédemment