网络安全: 限制 NTLM: 此域中的 NTLM 身份验证
介绍了有关“网络安全: 限制 NTLM: 此域中的 NTLM 身份验证”安全策略设置的最佳做法、位置、值、管理方面和安全注意事项。
参考
“网络安全: 限制 NTLM: 此域中的 NTLM 身份验证”****策略设置支持从此域控制器的某个域中允许或拒绝 NTLM 身份验证。此策略设置不会影响此域控制器的交互登录。
可能值
禁用
域控制器将允许域中的所有 NTLM 传递身份验证请求。
拒绝域帐户到域服务器
域控制器将拒绝使用此域的帐户到域中所有服务器的 NTLM 身份验证登录尝试。如果服务器名未出现在“网络安全: 限制 NTLM: 添加此域中的服务器例外”策略设置中的例外列表上,NTLM 身份验证尝试将受到阻止,并且返回 NTLM 阻止的错误。
NTLM 可在用户连接到其他域的情况下使用。这取决于这些域上是否设置了任何限制 NTLM 策略。
拒绝域帐户
如果服务器名未出现在“网络安全: 限制 NTLM: 添加此域中的服务器例外”策略设置中的例外列表上,则只有域控制器将拒绝通过域帐户的所有 NTLM 身份验证登录尝试,并返回 NTLM 阻止的错误。
拒绝域服务器
如果服务器名未出现在“网络安全: 限制 NTLM: 添加此域中的服务器例外”策略设置中的例外列表上,域控制器将拒绝针对域中所有服务器的 NTLM 身份验证请求,并返回 NTLM 阻止的错误。配置此策略设置不会影响未加入域的服务器。
全部拒绝
如果服务器名未出现在“网络安全: 限制 NTLM: 添加此域中的服务器例外”策略设置中的例外列表上,域控制器将拒绝来自其服务器并针对其帐户的所有 NTLM 传递身份验证请求,并返回 NTLM 阻止的错误。
未定义
域控制器将在部署策略的域中允许所有 NTLM 身份验证请求。
最佳做法
选择任意拒绝选项会限制域的传入 NTLM 流量。首先设置“网络安全: 限制 NTLM: 审核此域中的 NTLM 身份验证”****策略设置,然后查看运行日志以了解对成员服务器进行了哪些身份验证尝试。然后,可以使用“网络安全: 限制 NTLM: 添加此域中的服务器例外”策略设置将这些成员服务器名称添加到服务器例外列表。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未配置 |
默认域控制器策略 |
未配置 |
独立服务器默认设置 |
未配置 |
域控制器有效默认设置 |
未配置 |
成员服务器有效默认设置 |
未配置 |
客户端计算机有效默认设置 |
未配置 |
策略管理
本部分介绍可用于帮助你管理此策略的不同功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重启即可使这些更改生效。
组策略
使用组策略设置和部署此策略优先于本地设备上的设置。如果将组策略设置为“未配置”,将应用本地设置。
审核
请查看运行事件日志以查看此策略是否按计划运行。审核和阻止事件记录在此计算机上位于“应用程序和服务日志\Microsoft\Windows\NTLM”****的运行事件日志中。
没有任何安全审核事件策略可以配置为查看此策略的输出。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
NTLM 和 NTLMv2 身份验证易遭受各种恶意攻击,包括 SMB 重播、中间人攻击和暴力攻击。从环境中减少和解除 NTLM 身份验证会迫使 Windows 操作系统使用更安全的协议(例如 Kerberos 版本 5 协议)或不同的身份验证机制(例如智能卡)。
漏洞
仅在服务器或域控制器处理 NTLM 请求时会发生对 NTLM 身份验证通信的恶意攻击,该攻击会损害服务器或域控制器。拒绝这些请求会消除此攻击途径。
对策
在因为要求使用更安全的协议(例如 Kerberos 协议)而确定不应在网络中使用 NTLM 身份验证协议时,可以选择此安全策略设置提供的若干选项中的一项来限制在域中使用 NTLM。
潜在影响
如果配置此策略设置,许多 NTLM 身份验证请求会在域中失败,这会降低效率。在通过此策略设置实现此更改前,将“网络安全: 限制 NTLM: 审核此域中的 NTLM 身份验证”设置为相同选项,以便你可以查看日志以了解潜在影响、执行服务器分析并创建服务器例外列表以使用“网络安全: 限制 NTLM: 添加此域中的服务器例外”排除此策略设置。