Sécurité réseau : restreindre NTLM : authentification NTLM dans ce domaine
S’applique à
- Windows Server
Décrit les meilleures pratiques, l’emplacement, les valeurs, les aspects de gestion et les considérations relatives à la sécurité pour le paramètre de stratégie de sécurité réseau : Restreindre NTLM : AUTHENTIFICATION NTLM dans ce domaine .
Référence
Le paramètre de stratégie Sécurité réseau : Restreindre NTLM : AUTHENTIFICATION NTLM dans ce domaine vous permet de refuser ou d’autoriser l’authentification NTLM au sein d’un domaine à partir de ce contrôleur de domaine. Ce paramètre de stratégie n’affecte pas l’ouverture de session interactive à ce contrôleur de domaine.
Valeurs possibles
Désactivez
Le contrôleur de domaine autorise toutes les demandes d’authentification directe NTLM au sein du domaine.
Refuser les comptes de domaine pour les serveurs de domaine
Le contrôleur de domaine refuse toutes les tentatives de connexion à l’authentification NTLM à l’aide de comptes de ce domaine vers tous les serveurs du domaine. Les tentatives d’authentification NTLM sont bloquées et retournent une erreur bloquée NTLM, sauf si le nom du serveur figure dans la liste des exceptions dans le paramètre de stratégie Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur dans ce domaine .
NTLM peut être utilisé si les utilisateurs se connectent à d’autres domaines, selon que des stratégies Restreindre NTLM ont été définies sur ces domaines ou non.
Refuser pour les comptes de domaine
Seul le contrôleur de domaine refuse toutes les tentatives de connexion à l’authentification NTLM à partir de comptes de domaine et retourne une erreur bloquée NTLM, sauf si le nom du serveur figure dans la liste des exceptions dans le paramètre Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur dans ce domaine de stratégie.
Refuser pour les serveurs de domaine
Le contrôleur de domaine refuse les demandes d’authentification NTLM à tous les serveurs du domaine et retourne une erreur bloquée NTLM, sauf si le nom du serveur figure dans la liste des exceptions dans le paramètre Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur dans ce domaine de stratégie. Les serveurs qui ne sont pas joints au domaine ne seront pas affectés si ce paramètre de stratégie est configuré.
Refuser tout
Le contrôleur de domaine refuse toutes les demandes d’authentification directe NTLM provenant de ses serveurs et de ses comptes et retourne une erreur bloquée NTLM, sauf si le nom du serveur figure dans la liste des exceptions dans le paramètre de stratégie Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur dans ce domaine .
Non définie
Le contrôleur de domaine autorise toutes les demandes d’authentification NTLM dans le domaine où la stratégie est déployée.
Meilleures pratiques
Si vous sélectionnez l’une des options de refus, le trafic NTLM entrant vers le domaine est limité. Tout d’abord, définissez le paramètre de stratégie Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine , puis examinez le journal des opérations pour comprendre quelles tentatives d’authentification sont effectuées sur les serveurs membres. Vous pouvez ensuite ajouter ces noms de serveurs membres à une liste d’exceptions de serveur à l’aide du paramètre de stratégie Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur dans ce domaine .
Emplacement
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Valeurs par défaut
| Type de serveur ou GPO | Valeur par défaut |
|---|---|
| Stratégie de domaine par défaut | Non configuré |
| Stratégie de contrôleur de domaine par défaut | Non configuré |
| Paramètres par défaut du serveur autonome | Non configuré |
| Paramètres par défaut effectifs du contrôleur de domaine | Non configuré |
| Paramètres par défaut effectifs du serveur membre | Non configuré |
| Paramètres par défaut effectifs de l’ordinateur client | Non configuré |
Gestion des stratégies
Cette section décrit les différentes fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.
Exigence de redémarrage
Aucune. Les modifications apportées à cette stratégie prennent effet sans redémarrage lorsqu’elles sont enregistrées localement ou distribuées via stratégie de groupe.
Stratégie de groupe
La définition et le déploiement de cette stratégie à l’aide de stratégie de groupe sont prioritaires sur le paramètre sur l’appareil local. Si le stratégie de groupe est défini sur Non configuré, les paramètres locaux s’appliquent. La stratégie s’applique uniquement aux contrôleurs de domaine.
Audit
Affichez le journal des événements opérationnels pour voir si cette stratégie fonctionne comme prévu. Les événements d’audit et de blocage sont enregistrés sur cet ordinateur dans le journal des événements opérationnels situé dans Journal des applications et des services\Microsoft\Windows\NTLM.
Aucune stratégie d’événement d’audit de sécurité ne peut être configurée pour afficher la sortie de cette stratégie.
Considérations en matière de sécurité
Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.
L’authentification NTLM et NTLMv2 est vulnérable à diverses attaques malveillantes, notamment la relecture SMB, les attaques de l’intercepteur et les attaques par force brute. La réduction et l’élimination de l’authentification NTLM de votre environnement forcent le système d’exploitation Windows à utiliser des protocoles plus sécurisés, tels que le protocole Kerberos version 5, ou différents mécanismes d’authentification, tels que les cartes à puce.
Vulnérabilité
Les attaques malveillantes sur le trafic d’authentification NTLM entraînant un serveur ou un contrôleur de domaine compromis ne peuvent se produire que si le serveur ou le contrôleur de domaine gère les requêtes NTLM. Si ces demandes sont refusées, ce vecteur d’attaque est éliminé.
Contre-mesure
Une fois qu’il a été déterminé que le protocole d’authentification NTLM ne doit pas être utilisé dans un réseau, car vous devez utiliser un protocole plus sécurisé tel que le protocole Kerberos, vous pouvez sélectionner l’une des options offertes par ce paramètre de stratégie de sécurité pour limiter l’utilisation de NTLM dans le domaine.
Impact possible
Si vous configurez ce paramètre de stratégie, de nombreuses demandes d’authentification NTLM peuvent échouer dans le domaine, ce qui peut dégrader la productivité. Avant d’implémenter cette modification via ce paramètre de stratégie, définissez Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine sur la même option afin que vous puissiez examiner l’impact potentiel dans le journal, effectuer une analyse des serveurs et créer une liste d’exceptions de serveurs à exclure de ce paramètre de stratégie à l’aide de la sécurité réseau : Restreindre NTLM : ajouter des exceptions de serveur dans ce domaine.