Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants
S'applique à
- Windows 11
- Windows 10
Décrit les meilleures pratiques, l’emplacement, les valeurs, les aspects de gestion et les considérations de sécurité pour le paramètre de stratégie de sécurité Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants .
Remarque
Pour plus d’informations sur la configuration d’un serveur à accéder à distance, consultez Bureau à distance - Autoriser l’accès à votre PC.
Référence
Le paramètre de stratégie Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants vous permet de refuser ou d’auditer le trafic NTLM sortant d’un ordinateur exécutant Windows 7, Windows Server 2008 ou version ultérieure vers n’importe quel serveur distant exécutant le système d’exploitation Windows.
Avertissement: La modification de ce paramètre de stratégie peut affecter la compatibilité avec les ordinateurs clients, les services et les applications.
Valeurs possibles
Autoriser tout
L’appareil peut authentifier les identités auprès d’un serveur distant à l’aide de l’authentification NTLM, car aucune restriction n’existe.
Auditer tout
L’appareil qui envoie la demande d’authentification NTLM à un serveur distant enregistre un événement pour chaque requête. Cet événement vous permet d’identifier les serveurs qui reçoivent des demandes d’authentification NTLM de l’appareil client.
Refuser tout
L’appareil ne peut pas authentifier d’identité sur un serveur distant à l’aide de l’authentification NTLM. Vous pouvez utiliser le paramètre de stratégie Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l’authentification NTLM pour définir une liste de serveurs distants sur lesquels les appareils clients sont autorisés à utiliser l’authentification NTLM tout en refusant d’autres serveurs. Ce paramètre journalisera également un événement sur l’appareil qui effectue la demande d’authentification.
Non définie
Cet état de non-définition est identique à Autoriser tout, et l’appareil autorise toutes les demandes d’authentification NTLM lors du déploiement de la stratégie.
Meilleures pratiques
Si vous sélectionnez Refuser tout, l’appareil client ne peut pas authentifier les identités sur un serveur distant à l’aide de l’authentification NTLM. Tout d’abord, sélectionnez Auditer tout , puis passez en revue le journal des événements opérationnels pour comprendre quels serveurs sont impliqués dans ces tentatives d’authentification. Vous pouvez ensuite ajouter ces noms de serveurs à une liste d’exceptions de serveur à l’aide du paramètre de stratégie Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l’authentification NTLM .
Location
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Valeurs par défaut
| Type de serveur ou GPO | Valeur par défaut |
|---|---|
| Stratégie de domaine par défaut | Non définie |
| Stratégie de contrôleur de domaine par défaut | Non définie |
| Paramètres par défaut du serveur autonome | Non définie |
| Paramètres par défaut effectifs du contrôleur de domaine | Non définie |
| Paramètres par défaut effectifs du serveur membre | Non définie |
| Paramètres par défaut effectifs de l’ordinateur client | Non définie |
Gestion des stratégies
Cette section décrit les différentes fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.
Exigence de redémarrage
Aucune. Les modifications apportées à cette stratégie prennent effet sans redémarrage lorsqu’elles sont enregistrées localement ou distribuées via stratégie de groupe.
Stratégie de groupe
La définition et le déploiement de cette stratégie à l’aide de stratégie de groupe sont prioritaires sur le paramètre sur l’appareil local. Si le stratégie de groupe est défini sur Non configuré, les paramètres locaux s’appliquent.
Audit
Affichez le journal des événements opérationnels pour voir si cette stratégie fonctionne comme prévu. Les événements d’audit et de blocage sont enregistrés sur cet ordinateur dans le journal des événements opérationnels situé dans Journal des applications et des services\Microsoft\Windows\NTLM.
Aucune stratégie d’événement d’audit de sécurité ne peut être configurée pour afficher la sortie des événements de cette stratégie.
Considérations en matière de sécurité
Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.
L’authentification NTLM et NTLMv2 est vulnérable à diverses attaques malveillantes, notamment le relais SMB, les attaques de l’intercepteur et les attaques par force brute. La réduction et l’élimination de l’authentification NTLM de votre environnement forcent le système d’exploitation Windows à utiliser des protocoles plus sécurisés, tels que le protocole Kerberos version 5, ou différents mécanismes d’authentification, tels que les cartes à puce.
Vulnérabilité
Les attaques malveillantes sur le trafic d’authentification NTLM qui entraînent un serveur ou un contrôleur de domaine compromis ne peuvent se produire que si le serveur ou le contrôleur de domaine gère les requêtes NTLM. Si ces demandes sont refusées, ce vecteur d’attaque est éliminé.
Contre-mesure
Lorsqu’il a été déterminé que le protocole d’authentification NTLM ne doit pas être utilisé dans un réseau, car vous devez utiliser un protocole plus sécurisé tel que Kerberos, vous pouvez choisir parmi plusieurs options pour limiter l’utilisation de NTLM aux serveurs.
Impact possible
Si vous configurez ce paramètre de stratégie pour refuser toutes les demandes, de nombreuses demandes d’authentification NTLM adressées aux serveurs distants peuvent échouer, ce qui peut dégrader la productivité. Avant d’implémenter cette restriction via ce paramètre de stratégie, sélectionnez Tout auditer afin de pouvoir examiner l’impact potentiel dans le journal, effectuer une analyse des serveurs et créer une liste d’exceptions de serveurs à exclure de ce paramètre de stratégie à l’aide de Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l’authentification NTLM .