Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen
Hier werden bewährte Methoden, Speicherort, Werte sowie Verwaltungs- und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen beschrieben.
Referenzen
Mithilfe der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen für NTLM-Authentifizierung hinzufügen können Sie eine Ausnahmeliste mit Remoteservern erstellen, für die Clientgeräte die NTLM-Authentifizierung verwenden können, wenn die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern konfiguriert ist.
Wenn Sie diese Richtlinieneinstellung konfigurieren, können Sie eine Liste mit Remoteservern definieren, für die Clientgeräte die NTLM-Authentifizierung verwenden dürfen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden keine Ausnahmen angewendet. Wenn Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern aktiviert ist, schlagen NTLM-Authentifizierungsversuche der Clientgeräte fehl.
Listen Sie die NetBIOS-Servernamen auf, die von den Anwendungen als Benennungsformat verwendet werden (jeweils einen pro Zeile). Zur Sicherstellung von Ausnahmen müssen die von allen Anwendungen verwendeten Namen in der Liste enthalten sein. Als Platzhalterzeichen kann an einer beliebigen Stelle in der Zeichenfolge ein Sternchen (*) verwendet werden.
Mögliche Werte
Benutzerdefinierte Liste mit Remoteservern
Wenn Sie eine Liste mit Remoteservern eingeben, für die Clients die NTLM-Authentifizierung verwenden dürfen, ist die Richtlinie definiert und aktiviert.
Nicht definiert
Wenn Sie diese Richtlinieneinstellung nicht durch Definition einer Serverliste konfigurieren, ist die Richtlinie nicht definiert, und es werden keine Ausnahmen angewendet.
Bewährte Methoden
Erzwingen Sie zunächst die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen oder Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen, und überprüfen Sie dann im Betriebsereignisprotokoll, welche Server an diesen Authentifizierungsversuchen beteiligt sind. So können sie leichter entscheiden, welche Server ausgenommen werden sollen.
Erzwingen Sie nach dem Festlegen der Serverausnahmeliste die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen oder Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen, und überprüfen Sie anschließend erneut das Betriebsereignisprotokoll, bevor Sie festlegen, dass die Richtlinien den NTLM-Datenverkehr blockieren sollen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Das Festlegen und Bereitstellen dieser Richtlinie durch die Gruppenrichtlinie hat Vorrang vor der Einstellung auf dem lokalen Gerät. Wenn für die Gruppenrichtlinieneinstellung die Option Nicht konfiguriert festgelegt ist, gelten die lokalen Einstellungen.
Überwachung
Prüfen Sie im Betriebsereignisprotokoll, ob Ihre Serverausnahmeliste wie gewünscht funktioniert. Überwachungs- und Blockierungsereignisse werden auf dem Gerät im Betriebsereignisprotokoll unter Anwendungs- und Dienstprotokoll\MicrosoftWindows\NTLM erfasst.
Es gibt keine Sicherheitsüberwachungsrichtlinien, die konfiguriert werden können, um die Ausgabe dieser Richtlinie anzuzeigen.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn festgelegt wurde, dass das NTLM-Authentifizierungsprotokoll auf einem Clientgerät für Remoteserver nicht verwendet werden soll, da ein sichereres Protokoll wie etwa Kerberos genutzt werden soll, sind unter Umständen noch einige Clientanwendungen vorhanden, die dennoch NTLM einsetzen. Wenn dies der Fall ist und Sie Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern für eine der Verweigerungsoptionen festlegen, tritt bei diesen Anwendungen ein Fehler auf, da der vom Clientcomputer ausgehende NTLM-Authentifizierungsdatenverkehr blockiert wird.
Wenn Sie eine Ausnahmeliste mit Servern definieren, für die Clientgeräte die NTLM-Authentifizierung verwenden dürfen, wird der NTLM-Authentifizierungsdatenverkehr weiterhin zwischen den Clientanwendungen und den Servern abgewickelt. Die Server sind dann anfällig für böswillige Angriffe, die Sicherheitsschwachstellen in NTLM nutzen.
Gegenmaßnahme
Wenn Sie Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern nur im Überwachungsmodus verwenden, können Sie ermitteln, welche Clientanwendungen NTLM-Authentifizierungsanforderungen an die Remoteserver in Ihrer Umgebung senden. Nach der Auswertung müssen Sie situationsabhängig festlegen, ob die NTLM-Authentifizierung noch Ihre Sicherheitsanforderungen erfüllt. Falls nicht, muss die Clientanwendung aktualisiert werden, sodass sie anstelle der NTLM-Authentifizierung eine andere Art der Authentifizierung verwendet.
Mögliche Auswirkung
Wenn Sie eine Liste mit Servern für diese Richtlinieneinstellung festlegen, ermöglichen Sie dadurch den NTLM-Authentifizierungsdatenverkehr von der Clientanwendung, die diese Server verwendet. Dies kann zu einer Sicherheitslücke führen.
Wenn diese Liste nicht definiert wird und Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern aktiviert ist, tritt bei den Clientanwendungen, die NTLM nutzen, beim Authentifizieren bei den zuvor verwendeten Servern ein Fehler auf.