网络安全: 限制 NTLM: 传入 NTLM 流量
介绍了有关“网络安全: 限制 NTLM: 传入 NTLM 流量”安全策略设置的最佳做法、位置、值、管理方面和安全注意事项。
参考
“网络安全: 限制 NTLM: 传入 NTLM 流量”****策略设置允许你拒绝或允许来自客户端计算机、其他成员服务器或域控制器的传入 NTLM 流量。
可能值
全部允许
服务器允许所有 NTLM 身份验证请求。
拒绝所有域帐户
服务器将拒绝域登录的 NTLM 身份验证请求、将 NTLM 阻止的错误消息返回客户端设备,并记录错误,但服务器将允许本地帐户登录。
拒绝所有账户
服务器将拒绝所有传入流量的 NTLM 身份验证请求(无论是域帐户登录还是本地帐户登录)、将 NTLM 阻止的错误消息返回到客户端设备,并记录错误。
未定义
这与“全部允许”相同,并且服务器将允许所有 NTLM 身份验证请求。
最佳做法
如果选择“拒绝所有域帐户”****或“拒绝所有帐户”,成员服务器的传入 NTLM 流量将会受到限制。若要了解对成员服务器进行了哪些身份验证尝试,并且哪些客户端应用程序随后使用了 NTLM,最好设置“网络安全: 限制 NTLM: 审核传入 NTLM 流量”****策略设置,然后查看运行日志。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
未定义 |
域控制器有效默认设置 |
未定义 |
成员服务器有效默认设置 |
未定义 |
客户端计算机有效默认设置 |
未定义 |
策略管理
本部分介绍可用于帮助你管理此策略的不同功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重启即可使这些更改生效。
组策略
使用组策略设置和部署此策略优先于本地设备上的设置。如果将组策略设置为“未配置”,将应用本地设置。
审核
请查看运行事件日志以查看此策略是否按计划运行。审核和阻止事件记录在此计算机上位于“应用程序和服务日志\Microsoft\Windows\NTLM”****的运行事件日志中。
没有任何安全审核事件策略可以配置为查看此策略的事件输出。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
NTLM 和 NTLMv2 身份验证易遭受各种恶意攻击,包括 SMB 重播、中间人攻击和暴力攻击。从环境中减少和解除 NTLM 身份验证会迫使 Windows 操作系统使用更安全的协议(例如 Kerberos 版本 5 协议)或不同的身份验证机制(例如智能卡)。
漏洞
仅在服务器处理 NTLM 请求时会发生对 NTLM 身份验证通信的恶意攻击,该攻击会损害服务器。如果拒绝这些请求,将消除对 NTLM 的暴力攻击。
对策
在因为要求使用更安全的协议(例如 Kerberos)而确定了不应在网络中使用 NTLM 身份验证协议时,可以选择此安全策略设置提供的若干选项中的一项来限制使用 NTLM。
潜在影响
如果配置此策略设置,许多 NTLM 身份验证请求会在网络中失败,这会降低效率。在通过此策略设置实现此更改前,将“网络安全: 限制 NTLM: 审核传入 NTLM 流量”设置为相同选项,以便你可以查看日志以了解潜在影响、执行服务器分析并创建服务器例外列表以排除此策略设置“网络安全: 限制 NTLM: 添加此域中的服务器例外”。