Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants

S'applique à

  • Windows 11
  • Windows 10

Décrit les meilleures pratiques, l’emplacement, les valeurs, les aspects de gestion et les considérations de sécurité pour le paramètre de stratégie de sécurité Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants .

Remarque

Pour plus d’informations sur la configuration d’un serveur à accéder à distance, consultez Bureau à distance - Autoriser l’accès à votre PC.

Référence

Le paramètre de stratégie Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants vous permet de refuser ou d’auditer le trafic NTLM sortant d’un ordinateur exécutant Windows 7, Windows Server 2008 ou version ultérieure vers n’importe quel serveur distant exécutant le système d’exploitation Windows.

Avertissement: La modification de ce paramètre de stratégie peut affecter la compatibilité avec les ordinateurs clients, les services et les applications.

Valeurs possibles

  • Autoriser tout

    L’appareil peut authentifier les identités auprès d’un serveur distant à l’aide de l’authentification NTLM, car aucune restriction n’existe.

  • Auditer tout

    L’appareil qui envoie la demande d’authentification NTLM à un serveur distant enregistre un événement pour chaque requête. Cet événement vous permet d’identifier les serveurs qui reçoivent des demandes d’authentification NTLM de l’appareil client.

  • Refuser tout

    L’appareil ne peut pas authentifier d’identité sur un serveur distant à l’aide de l’authentification NTLM. Vous pouvez utiliser le paramètre de stratégie Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l’authentification NTLM pour définir une liste de serveurs distants sur lesquels les appareils clients sont autorisés à utiliser l’authentification NTLM tout en refusant d’autres serveurs. Ce paramètre journalisera également un événement sur l’appareil qui effectue la demande d’authentification.

  • Non définie

    Cet état de non-définition est identique à Autoriser tout, et l’appareil autorise toutes les demandes d’authentification NTLM lors du déploiement de la stratégie.

Meilleures pratiques

Si vous sélectionnez Refuser tout, l’appareil client ne peut pas authentifier les identités sur un serveur distant à l’aide de l’authentification NTLM. Tout d’abord, sélectionnez Auditer tout , puis passez en revue le journal des événements opérationnels pour comprendre quels serveurs sont impliqués dans ces tentatives d’authentification. Vous pouvez ensuite ajouter ces noms de serveurs à une liste d’exceptions de serveur à l’aide du paramètre de stratégie Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l’authentification NTLM .

Location

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Valeurs par défaut

Type de serveur ou GPO Valeur par défaut
Stratégie de domaine par défaut Non définie
Stratégie de contrôleur de domaine par défaut Non définie
Paramètres par défaut du serveur autonome Non définie
Paramètres par défaut effectifs du contrôleur de domaine Non définie
Paramètres par défaut effectifs du serveur membre Non définie
Paramètres par défaut effectifs de l’ordinateur client Non définie

Gestion des stratégies

Cette section décrit les différentes fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.

Exigence de redémarrage

Aucune. Les modifications apportées à cette stratégie prennent effet sans redémarrage lorsqu’elles sont enregistrées localement ou distribuées via stratégie de groupe.

Stratégie de groupe

La définition et le déploiement de cette stratégie à l’aide de stratégie de groupe sont prioritaires sur le paramètre sur l’appareil local. Si le stratégie de groupe est défini sur Non configuré, les paramètres locaux s’appliquent.

Audit

Affichez le journal des événements opérationnels pour voir si cette stratégie fonctionne comme prévu. Les événements d’audit et de blocage sont enregistrés sur cet ordinateur dans le journal des événements opérationnels situé dans Journal des applications et des services\Microsoft\Windows\NTLM.

Aucune stratégie d’événement d’audit de sécurité ne peut être configurée pour afficher la sortie des événements de cette stratégie.

Considérations en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

L’authentification NTLM et NTLMv2 est vulnérable à diverses attaques malveillantes, notamment le relais SMB, les attaques de l’intercepteur et les attaques par force brute. La réduction et l’élimination de l’authentification NTLM de votre environnement forcent le système d’exploitation Windows à utiliser des protocoles plus sécurisés, tels que le protocole Kerberos version 5, ou différents mécanismes d’authentification, tels que les cartes à puce.

Vulnérabilité

Les attaques malveillantes sur le trafic d’authentification NTLM qui entraînent un serveur ou un contrôleur de domaine compromis ne peuvent se produire que si le serveur ou le contrôleur de domaine gère les requêtes NTLM. Si ces demandes sont refusées, ce vecteur d’attaque est éliminé.

Contre-mesure

Lorsqu’il a été déterminé que le protocole d’authentification NTLM ne doit pas être utilisé dans un réseau, car vous devez utiliser un protocole plus sécurisé tel que Kerberos, vous pouvez choisir parmi plusieurs options pour limiter l’utilisation de NTLM aux serveurs.

Impact possible

Si vous configurez ce paramètre de stratégie pour refuser toutes les demandes, de nombreuses demandes d’authentification NTLM adressées aux serveurs distants peuvent échouer, ce qui peut dégrader la productivité. Avant d’implémenter cette restriction via ce paramètre de stratégie, sélectionnez Tout auditer afin de pouvoir examiner l’impact potentiel dans le journal, effectuer une analyse des serveurs et créer une liste d’exceptions de serveurs à exclure de ce paramètre de stratégie à l’aide de Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l’authentification NTLM .