Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern
Hier werden bewährte Methoden, Speicherort, Werte sowie Verwaltungs- und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern beschrieben.
Referenzen
Mit der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern können Sie ausgehenden NTLM-Datenverkehr von einem Computer mit Windows 7 oder Windows Server 2008 oder höher zu einem Remoteserver mit dem Windows-Betriebssystem verweigern oder überwachen.
Warnung
Das Ändern dieser Richtlinieneinstellung kann sich auf die Kompatibilität mit Clientcomputern, Diensten und Anwendungen auswirken.
Mögliche Werte
Alle zulassen
Das Gerät kann mithilfe der NTLM-Authentifizierung Identitäten bei einem Remoteserver authentifizieren, da keine Einschränkungen vorliegen.
Alle überwachen
Das Gerät, das die NTLM-Authentifizierungsanforderung an einen Remoteserver sendet, protokolliert ein Ereignis für jede Anforderung. Dadurch können Sie die Server identifizieren, die NTLM-Authentifizierungsanforderungen vom Clientgerät erhalten.
Alle verweigern
Das Gerät kann mithilfe der NTLM-Authentifizierung keine Identitäten bei einem Remoteserver authentifizieren. Mit der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen können Sie eine Liste mit Remoteservern festlegen, für die Clientgeräte die NTLM-Authentifizierung verwenden dürfen. Für andere Remoteserver wird die Authentifizierung verweigert. Mit dieser Einstellung wird darüber hinaus ein Ereignis auf dem Gerät protokolliert, das die Authentifizierungsanforderung sendet.
Nicht definiert
Diese Option ist identisch mit Alle zulassen, und das Gerät lässt bei Bereitstellung der Richtlinie alle NTLM-Authentifizierungsanforderungen zu.
Bewährte Methoden
Wenn Sie Alle verweigern auswählen, kann das Clientgerät mithilfe der NTLM-Authentifizierung keine Identitäten bei einem Remoteserver authentifizieren. Wählen Sie zunächst Alle überwachen aus, und überprüfen Sie dann im Betriebsereignisprotokoll, welche Server an diesen Authentifizierungsversuchen beteiligt sind. Sie können dann mit der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen die Servernamen zur Serverausnahmeliste hinzufügen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Gruppenrichtlinie
Das Festlegen und Bereitstellen dieser Richtlinie mit der Gruppenrichtlinie hat Vorrang vor der Einstellung auf dem lokalen Gerät. Wenn für die Gruppenrichtlinie die Option Nicht konfiguriert festgelegt ist, gelten die lokalen Einstellungen.
Überwachung
Prüfen Sie im Betriebsereignisprotokoll, ob diese Richtlinie wie gewünscht funktioniert. Überwachungs- und Blockierungsereignisse werden auf dem Computer im Betriebsereignisprotokoll unter Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM erfasst.
Es gibt keine Richtlinien für Sicherheitsüberwachungsereignisse, die zum Anzeigen der Ausgabe dieser Richtlinie konfiguriert werden können.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
NTLM- und NTLMv2-Authentifizierung ist anfällig für eine Vielzahl böswilliger Angriffe, u. a. SMB Relay-, Man-in-the-Middle- und Brute-Force-Angriffe. Wenn Sie die NTLM-Authentifizierung in Ihrer Umgebung immer weniger und schließlich gar nicht mehr einsetzen, wird das Windows-Betriebssystem dazu veranlasst, sicherere Protokolle wie etwa Kerberos Version 5 oder andere Authentifizierungsmechanismen wie Smartcards zu verwenden.
Sicherheitsrisiko
Böswillige Angriffe auf NTLM-Authentifizierungsdatenverkehr, die den Server oder Domänencontroller gefährden, sind nur möglich, wenn der Server oder Domänencontroller NTLM-Anforderungen behandelt. Wenn derartige Anforderungen verweigert werden, wird dieses Angriffsrisiko eliminiert.
Gegenmaßnahme
Wenn festgelegt wurde, dass das NTLM-Authentifizierungsprotokoll in einem Netzwerk nicht verwendet werden sollte, weil ein sichereres Protokoll wie etwa Kerberos erforderlich ist, können Sie zwischen mehreren Optionen zum Einschränken der NTLM-Nutzung auf Server wählen.
Mögliche Auswirkung
Wenn Sie die Richtlinieneinstellung so konfigurieren, dass alle Anforderungen verweigert werden, können zahlreiche NTLM-Authentifizierungsanforderungen an Server fehlschlagen, wodurch die Produktivität beeinträchtigt werden kann. Bevor Sie diese Einschränkung mithilfe dieser Richtlinieneinstellung implementieren, wählen Sie Alle überwachen. So können Sie das Protokoll auf mögliche Auswirkungen überprüfen, eine Serveranalyse ausführen und eine Ausnahmeliste mit Servern erstellen, die mithilfe von Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen von dieser Richtlinieneinstellung ausgeschlossen werden sollen.