AD域环境禁用了了ntlmV1后,仍然有该协议的验证流量通过

连国 于 570 信誉分
2024-05-23T23:22:40.1466667+00:00

您好

已经从AD域控中禁用了ntlm1的验证,

QQ截图20240524072140

为啥还能从服务器日志文件中发现关于ntlm1的相关验证报错的信息,如下

QQ截图20240524071652

Windows Server
Windows Server
支持企业级管理、数据存储、应用程序和通信的 Microsoft 服务器操作系统系列。
212 个问题
0 个注释 无注释
{count} 票

5 个答案

排序依据: 非常有帮助
  1. Yanhong Liu 11,550 信誉分 Microsoft 供应商
    2024-05-24T02:32:58.6166667+00:00

    尊敬的客户,您好

    感谢您在问答论坛发帖。

    如果将GPO 设置为“仅发送 NTLM v2 响应”,则域控制器会接受 LM、NTLM 和NTLMv2身份验证。

    可以将DC和客户端的 GPO 设置更改为“仅发送 NTLMv2 响应\拒绝LM和NTLM“,这将有助于停止 NTLM v1 流量。同时域控制器也会拒绝 LM 和 NTLM 请求。

    我希望以上信息对您有所帮助。

    此致,

    =============================================

    如果答案对您有帮助,请点击“接受答案”并点赞。


  2. 连国 于 570 信誉分
    2024-05-24T06:05:07.7033333+00:00

    您好是这样的,我之前描述的环境不准确。

    我环境中有Exchange邮件服务器和DC服务器,配置的策略如下。。

    所以的DC服务器都是配置策略::发送 LM 和 NTLM – 如果协商,请使用 NTLMv2 会话安全性。

    而exchange服务器的配置策略::仅发送 NTLMv2 响应。拒绝 LM 和 NTLM。

    外网用户连接,出现了如上面所说的情况,日志中发现了NTLMv1的流量记录(第二张截图),我们华景中外网用户也就开放了Exchange服务器的443端口,不会再有其他方式越过邮箱服务器直接到DC验证吧?


  3. 连国 于 570 信誉分
    2024-05-24T09:11:40.53+00:00

    有没有相关案例也有此类情况,或者实验室环境下是什么样子的。

    仅是统一策略的话,目前用户这边的环境是不允许的。

    需要在现有的策略配置上,规避可能存在NTLMv1的流量的情况

    0 个注释 无注释

  4. 连国 于 570 信誉分
    2024-05-24T09:12:09.7833333+00:00

    有没有相关案例也有此类情况,或者实验室环境下是什么样子的。

    仅是统一策略的话,目前用户这边的环境是不允许的。

    需要在现有的策略配置上,规避可能存在NTLMv1的流量的情况


  5. 连国 于 570 信誉分
    2024-05-27T05:20:06.68+00:00

    你好 这个问题还有人在跟进吗

    0 个注释 无注释

你的答案

问题作者可以将答案标记为“接受的答案”,这有助于用户了解已解决作者问题的答案。