Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne

Hier werden bewährte Methoden, Speicherort, Werte sowie Verwaltungs- und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne beschrieben.

Referenzen

Mit der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne können Sie die NTLM-Authentifizierung in einer Domäne von diesem Domänencontroller verweigern oder zulassen. Diese Richtlinieneinstellung wirkt sich nicht auf die interaktive Anmeldung bei diesem Domänencontroller aus.

Mögliche Werte

  • Deaktivieren

    Der Domänencontroller ermöglicht alle NTLM-Pass-Through-Authentifizierungsanforderungen in der Domäne.

  • Für Domänenkonten an Domänenserver verweigern

    Der Domänencontroller verweigert alle NTLM-Authentifizierungsanmeldeversuche bei allen Servern in der Domäne, für die Konten aus dieser Domäne verwendet werden. Die NTLM-Authentifizierungsversuche werden blockiert, und es wird ein Fehler mit dem Hinweis angezeigt, dass NTLM blockiert ist, sofern der Servername nicht in der Ausnahmeliste in der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen enthalten ist.

    NTLM kann verwendet werden, wenn die Benutzer eine Verbindung mit anderen Domänen herstellen. Dies ist abhängig davon, ob für diese Domänen Richtlinien zum Beschränken von NTLM eingerichtet wurden.

  • Für Domänenkonten verweigern

    Nur der Domänencontroller verweigert alle NTLM-Authentifizierungsanmeldeversuche von Domänenkonten und gibt einen Fehler mit dem Hinweis zurück, dass NTLM blockiert ist, sofern der Servername nicht in der Ausnahmeliste in der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen enthalten ist.

  • Für Domänenserver verweigern

    Der Domänencontroller verweigert NTLM-Authentifizierungsanforderungen an alle Server in der Domäne und gibt einen Fehler mit dem Hinweis zurück, dass NTLM blockiert ist, sofern der Servername nicht in der Ausnahmeliste in der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen enthalten ist. Server, die nicht der Domäne angehören, sind von der Konfiguration dieser Richtlinieneinstellung nicht betroffen.

  • Alle verweigern

    Der Domänencontroller verweigert alle NTLM-Pass-Through-Authentifizierungsanforderungen von seinen Servern und für seine Konten und gibt einen Fehler mit dem Hinweis zurück, dass NTLM blockiert ist, sofern der Servername nicht in der Ausnahmeliste in der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen enthalten ist.

  • Nicht definiert

    Der Domänencontroller lässt alle NTLM-Authentifizierungsanforderungen in der Domäne zu, in der die Richtlinie bereitgestellt wird.

Bewährte Methoden

Wenn Sie eine der Verweigerungsoptionen auswählen, wird eingehender NTLM-Datenverkehr zur Domäne beschränkt. Legen Sie zunächst die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen fest, und überprüfen Sie anschließend im Betriebsprotokoll, welche Authentifizierungsversuche für die Mitgliedsserver ausgeführt werden. Sie können dann die Namen dieser Mitgliedsserver mithilfe der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen einer Serverausnahmeliste hinzufügen.

Ort

Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen

Standardwerte

Servertyp oder Gruppenrichtlinienobjekt Standardwert

Standarddomänenrichtlinie

Nicht konfiguriert

Standardrichtlinie für Domänencontroller

Nicht konfiguriert

Standardeinstellungen für eigenständige Server

Nicht konfiguriert

Effektive Standardeinstellungen für Domänencontroller

Nicht konfiguriert

Effektive Standardeinstellungen für Mitgliedsserver

Nicht konfiguriert

Effektive Standardeinstellungen für Clientcomputer

Nicht konfiguriert

 

Richtlinienverwaltung

In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.

Neustartanforderung

Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.

Gruppenrichtlinie

Das Festlegen und Bereitstellen dieser Richtlinie mit der Gruppenrichtlinie hat Vorrang vor der Einstellung auf dem lokalen Gerät. Wenn für die Gruppenrichtlinie die Option Nicht konfiguriert festgelegt ist, gelten die lokalen Einstellungen.

Überwachung

Prüfen Sie im Betriebsereignisprotokoll, ob diese Richtlinie wie gewünscht funktioniert. Überwachungs- und Blockierungsereignisse werden auf dem Computer im Betriebsereignisprotokoll unter Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM erfasst.

Es gibt keine Richtlinien für Sicherheitsüberwachungsereignisse, die zum Anzeigen der Ausgabe dieser Richtlinie konfiguriert werden können.

Sicherheitsaspekte

In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.

NTLM- und NTLMv2-Authentifizierung ist anfällig für eine Vielzahl böswilliger Angriffe, u. a. SMB Relay-, Man-in-the-Middle- und Brute-Force-Angriffe. Wenn Sie die NTLM-Authentifizierung in Ihrer Umgebung immer weniger und schließlich gar nicht mehr einsetzen, wird das Windows-Betriebssystem dazu veranlasst, sicherere Protokolle wie etwa Kerberos Version 5 oder andere Authentifizierungsmechanismen wie Smartcards zu verwenden.

Sicherheitsrisiko

Böswillige Angriffe auf NTLM-Authentifizierungsdatenverkehr, die den Server oder Domänencontroller gefährden, sind nur möglich, wenn der Server oder Domänencontroller NTLM-Anforderungen behandelt. Wenn derartige Anforderungen verweigert werden, wird dieses Angriffsrisiko eliminiert.

Gegenmaßnahme

Wenn festgelegt wurde, dass das NTLM-Authentifizierungsprotokoll in einem Netzwerk nicht verwendet werden sollte, weil ein sichereres Protokoll wie etwa das Kerberos-Protokoll erforderlich ist, können Sie eine der Optionen der Sicherheitsrichtlinieneinstellung auswählen, um die NTLM-Nutzung in der Domäne einzuschränken.

Mögliche Auswirkung

Wenn Sie diese Richtlinieneinstellung konfigurieren, können zahlreiche NTLM-Authentifizierungsanforderungen in der Domäne fehlschlagen, wodurch die Produktivität beeinträchtigt werden kann. Bevor Sie diese Änderung mithilfe dieser Richtlinieneinstellung implementieren, legen Sie für Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen dieselbe Option fest. So können Sie das Protokoll auf mögliche Auswirkungen überprüfen, eine Serveranalyse ausführen und eine Ausnahmeliste mit Servern erstellen, die von dieser Richtlinieneinstellung mithilfe von Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen ausgeschlossen werden sollen.

Verwandte Themen

Sicherheitsoptionen