網路安全性: 限制 NTLM: 送往遠端伺服器的連出 NTLM 流量

適用於

  • Windows 10

說明網路安全性的最佳作法、位置、值、管理層面和安全性考慮 :限制 NTLM:遠端伺服器的連出 NTLM 流量 安全性原則設定。

注意

如需設定要從遠端存取之伺服器的詳細資訊,請參閱 遠端桌面 - 允許存取您的電腦

參考

網路安全性:限制 NTLM:遠端伺服器的連出 NTLM 流量原則設定可讓您拒絕或稽核從執行 Windows 7、Windows Server 2008 或更新版本之電腦到執行 Windows 作業系統之任何遠端伺服器的連出 NTLM 流量。

警告: 修改此原則設定可能會影響與用戶端電腦、服務和應用程式的相容性。

可能值

  • 全部允許

    裝置可以使用 NTLM 驗證向遠端伺服器驗證身分識別,因為沒有任何限制。

  • 全部稽核

    將 NTLM 驗證要求傳送至遠端伺服器的裝置會記錄每個要求的事件。 此事件可讓您識別從用戶端裝置接收 NTLM 驗證要求的伺服器。

  • 全部拒絕

    裝置無法使用 NTLM 驗證向遠端伺服器驗證任何身分識別。 您可以使用網路安全性 :限制 NTLM:新增 NTLM 驗證原則設定的遠端伺服器例外 狀況,以定義用戶端裝置允許在拒絕其他伺服器時使用 NTLM 驗證的遠端伺服器清單。 此設定也會在提出驗證要求的裝置上記錄事件。

  • 未定義

    這個未定義的狀態與 [全部允許] 相同,而且裝置會在部署原則時允許所有 NTLM 驗證要求。

最佳做法

如果您選取 [全部拒絕],用戶端裝置就無法使用 NTLM 驗證向遠端伺服器驗證身分識別。 首先,選取 [ 全部稽 核],然後檢閱作業事件記錄檔,以瞭解哪些伺服器參與這些驗證嘗試。 接著,您可以使用 網路安全性:限制 NTLM:新增 NTLM 驗證原則設定的遠端伺服器例外 狀況,將這些伺服器名稱新增至伺服器例外狀況清單。

位置

電腦設定\Windows 設定\安全性設定\本機原則\安全性選項

預設值

伺服器類型或 GPO 預設值
預設網域原則 未定義
預設網域控制站原則 未定義
獨立伺服器預設設定 未定義
網域控制站的有效預設設定 未定義
成員伺服器的有效預設設定 未定義
用戶端電腦的有效預設設定 未定義

群組原則管理

本節說明可用來協助您管理此原則的不同功能和工具。

重新啟動需求

無。 在本機儲存或透過群組原則散發時,此原則的變更會生效,而不需要重新開機。

群組原則

使用 群組原則 設定和部署此原則的優先順序高於本機裝置上的設定。 如果群組原則設為 [未設定],則會套用本機設定。

審計

檢視作業事件記錄檔,以查看此原則是否如預期般運作。 稽核和封鎖事件會記錄在此電腦上的操作事件記錄檔中,位於 應用程式和服務記錄檔\Microsoft\Windows\NTLM中。

沒有任何安全性稽核事件原則可以設定為檢視此原則的事件輸出。

安全性考量

本節說明攻擊者如何惡意探索功能或其設定、如何實作因應對策,以及實作因應對策可能的負面後果。

NTLM 和 NTLMv2 驗證容易受到各種惡意攻擊,包括 SMB 轉送、攔截式攻擊和暴力密碼破解攻擊。 減少和排除來自您環境的 NTLM 驗證,會強制 Windows 作業系統使用更安全的通訊協定,例如 Kerberos 第 5 版通訊協定,或不同的驗證機制,例如智慧卡。

弱點

只有在伺服器或網域控制站處理 NTLM 要求時,才會對導致伺服器或網域控制站遭入侵的 NTLM 驗證流量進行惡意攻擊。 如果拒絕這些要求,就會消除此攻擊媒介。

因應對策

當判斷 NTLM 驗證通訊協定不應該在網路內使用時,因為您需要使用較安全的通訊協定,例如 Kerberos,則您可以從數個選項中選取,以限制伺服器的 NTLM 使用量。

可能的影響

如果您將此原則設定設定為拒絕所有要求,對遠端伺服器提出的許多 NTLM 驗證要求可能會失敗,這可能會降低生產力。 透過此原則設定實作此限制之前,請選取 [ 全部稽 核],以便檢閱記錄檔中是否有潛在影響、執行伺服器分析,以及使用網路安全性建立要從此原則設定中排除的伺服器例外清單 :限制 NTLM:新增 NTLM 驗證的遠端伺服器例外狀況

相關主題