Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr

Hier werden bewährte Methoden, Speicherort, Werte sowie Verwaltungs- und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr beschrieben.

Referenzen

Mit der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr können Sie eingehenden NTLM-Datenverkehr auf Clientcomputern, anderen Mitgliedsservern oder einem Domänencontroller verweigern oder zulassen.

Mögliche Werte

  • Alle zulassen

    Der Server lässt alle NTLM-Authentifizierungsanforderungen zu.

  • Alle Domänenkonten verweigern

    Der Server verweigert NTLM-Authentifizierungsanforderungen für die Domänenanmeldung, gibt eine Fehlermeldung mit dem Hinweis, dass NTLM blockiert ist, an das Clientgerät zurück und protokolliert den Fehler. Die Anmeldung an einem lokalen Konto ist jedoch möglich.

  • Alle Konten verweigern

    Der Server verweigert NTLM-Authentifizierungsanforderungen aus dem gesamten eingehenden Datenverkehr (unabhängig davon, ob es sich um eine Anmeldung beim Domänenkonto oder eine Anmeldung beim lokalen Konto handelt), gibt eine Fehlermeldung mit dem Hinweis, dass NTLM blockiert ist, an das Clientgerät zurück und protokolliert den Fehler.

  • Nicht definiert

    Diese Option ist identisch mit Alle zulassen, und der Server lässt alle NTLM-Authentifizierungsanforderungen zu.

Bewährte Methoden

Bei Auswahl von Alle Domänenkonten verweigern oder Alle Konten verweigern wird der eingehende NTLM-Datenverkehr an den Mitgliedsserver beschränkt. Es wird empfohlen, die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen festzulegen und anschließend im Betriebsprotokoll zu überprüfen, welche Authentifizierungsversuche für die Mitgliedsserver ausgeführt werden und welche Clientanwendungen NTLM nutzen.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

Servertyp oder GruppenrichtlinienobjektStandardwert

Standarddomänenrichtlinie

Nicht definiert

Standardrichtlinie für Domänencontroller

Nicht definiert

Standardeinstellungen für eigenständige Server

Nicht definiert

Effektive Standardeinstellungen für Domänencontroller

Nicht definiert

Effektive Standardeinstellungen für Mitgliedsserver

Nicht definiert

Effektive Standardeinstellungen für Clientcomputer

Nicht definiert

 

Richtlinienverwaltung

In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.

Gruppenrichtlinie

Das Festlegen und Bereitstellen dieser Richtlinie mit der Gruppenrichtlinie hat Vorrang vor der Einstellung auf dem lokalen Gerät. Wenn für die Gruppenrichtlinie die Option Nicht konfiguriert festgelegt ist, gelten die lokalen Einstellungen.

Überwachung

Prüfen Sie im Betriebsereignisprotokoll, ob diese Richtlinie wie gewünscht funktioniert. Überwachungs- und Blockierungsereignisse werden auf dem Computer im Betriebsereignisprotokoll unter Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM erfasst.

Es gibt keine Richtlinien für Sicherheitsüberwachungsereignisse, die zum Anzeigen der Ausgabe dieser Richtlinie konfiguriert werden können.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

NTLM- und NTLMv2-Authentifizierung ist anfällig für eine Vielzahl böswilliger Angriffe, u. a. SMB Relay-, Man-in-the-Middle- und Brute-Force-Angriffe. Wenn Sie die NTLM-Authentifizierung in Ihrer Umgebung immer weniger und schließlich gar nicht mehr einsetzen, wird das Windows-Betriebssystem dazu veranlasst, sicherere Protokolle wie etwa Kerberos Version 5 oder andere Authentifizierungsmechanismen wie Smartcards zu verwenden.

Sicherheitsrisiko

Böswillige Angriffe auf NTLM-Authentifizierungsdatenverkehr, die zu einer Gefährdung des Servers führen, sind nur möglich, wenn der Server NTLM-Anforderungen behandelt. Wenn diese Anforderungen verweigert werden, wird das Risiko von Brute-Force-Angriffen eliminiert.

Gegenmaßnahme

Wenn festgelegt wurde, dass das NTLM-Authentifizierungsprotokoll in einem Netzwerk nicht verwendet werden sollte, weil ein sichereres Protokoll wie etwa Kerberos erforderlich ist, können Sie eine der Optionen der Sicherheitsrichtlinieneinstellung auswählen, um die NTLM-Nutzung einzuschränken.

Mögliche Auswirkung

Wenn Sie diese Richtlinieneinstellung konfigurieren, können zahlreiche NTLM-Authentifizierungsanforderungen in Ihrem Netzwerk fehlschlagen, wodurch die Produktivität beeinträchtigt werden kann. Bevor Sie diese Änderung mithilfe dieser Richtlinieneinstellung implementieren, legen Sie für Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen dieselbe Option fest. So können Sie das Protokoll auf mögliche Auswirkungen überprüfen, eine Serveranalyse ausführen und eine Ausnahmeliste mit Servern erstellen, die von der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen ausgeschlossen werden sollen.

Verwandte Themen

Sicherheitsoptionen

 

 

Anzeigen: