Сетевая безопасность: ограничение NTLM — добавление удаленных серверов в исключения проверки подлинности NTLM
Содержит описание рекомендаций, расположения, значений, аспектов управления и вопросов безопасности для параметра политики безопасности Сетевая безопасность: ограничение NTLM — добавление удаленных серверов в исключения проверки подлинности NTLM.
Справка
Параметр политики Сетевая безопасность: ограничение NTLM — добавление удаленных серверов в исключения проверки подлинности NTLM позволяет создать список исключений для удаленных серверов, на которых клиентским устройствам разрешено использовать проверку подлинности NTLM, если настроен параметр политики Сетевая безопасность: ограничение NTLM — исходящий трафик NTLM к удаленным серверам.
При настройке этого параметра политики можно указать список удаленных серверов, на которых клиентским устройствам разрешено использовать проверку подлинности NTLM.
Если не настраивать этот параметр политики, исключения не будут применяться, и если включен параметр Сетевая безопасность: ограничение NTLM — исходящий трафик NTLM к удаленным серверам, попытки проверки подлинности NTLM от клиентских устройств будут отклонены.
Перечислите имена серверов NetBIOS, используемых приложениями, в формате имен, по одному в строке. Чтобы обеспечить применение исключений, имена, используемые всеми приложениями, должны быть внесены в список. Символ звездочки (*) можно использовать в любой строке как подстановочный знак.
Возможные значения
Определяемый пользователем список удаленных серверов
При вводе списка удаленных серверов, на которых клиентам разрешено использовать проверку подлинности NTLM, политика определяется и включается.
Не определено
Если не настроить этот параметр политики путем определения списка серверов, то политика не будет определена, а исключения не будут применены.
Рекомендации
Сначала примените параметр политики Сетевая безопасность: ограничение NTLM — аудит входящего трафика NTLM или Сетевая безопасность: ограничение NTLM — аудит проверки подлинности NTLM в этом домене, а затем просмотрите операционный журнал событий, чтобы понять, какие серверы участвуют в таких попытках проверки подлинности, и решить, какие серверы следует исключить.
Создав список исключений сервера, примените параметр политики Сетевая безопасность: ограничение NTLM — аудит входящего трафика NTLM или Сетевая безопасность: ограничение NTLM — аудит проверки подлинности NTLM в этом домене, а затем снова просмотрите операционный журнал событий перед установкой политик для блокирования трафика NTLM.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В данном разделе описываются компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения этой политики вступают в силу без перезагрузки устройства после их локального сохранения или распространения через групповую политику.
Групповая политика
Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром, заданным на локальном устройстве. Если параметру групповой политики установлено значение Не настроено, будут применены локальные параметры.
Аудит
Просмотрите операционный журнал событий, чтобы определить, правильно ли работает список исключений серверов. События аудита и блокировки записываются в операционный журнал событий на устройстве, расположенный в папке Журнал приложений и служб/Microsoft/Windows/NTLM.
Политики аудита безопасности нельзя настроить для просмотра вывода из этой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Уязвимость
Если протокол проверки подлинности NTLM не должен использоваться с клиентского устройства на каких-либо удаленных серверах, так как требуется более безопасный протокол, например Kerberos, возможно, некоторые клиентские приложения все еще используют NTLM. Если это так, а для параметра Сетевая безопасность: ограничение NTLM — исходящий трафик NTLM к удаленным серверам настроен какой-либо из запрещающих вариантов, работа этих приложений будут завершаться ошибкой, поскольку исходящий трафик проверки подлинности NTLM от клиентского компьютера будет блокироваться.
Если указать список исключений серверов, на которых клиентским устройствам разрешено использовать проверку подлинности NTLM, то эти клиентские приложения и серверы будут обмениваться трафиком проверки подлинности NTLM. В таком случае серверы будут уязвимы к любой вредоносной атаке, в ходе которой злоумышленник может воспользоваться слабыми местами системы безопасности в NTLM.
Меры противодействия
При использовании параметра Сетевая безопасность: ограничение NTLM — исходящий трафик NTLM к удаленным серверам в режиме "только аудит", можно определить, какие клиентские приложения отправляют запросы проверки подлинности NTLM к удаленным серверам в вашей среде. После оценки необходимо будет на индивидуальной основе определить, отвечает ли минимальным требованиям безопасности проверка подлинности NTLM. В противном случае клиентское приложение необходимо обновить, чтобы обеспечить возможность использования отличного от проверки подлинности NTLM метод.
Возможные последствия
При определении списка серверов для этого параметра политики будет включен трафик проверки подлинности NTLM из клиентского приложения, которое использует эти серверы, и это может привести к уязвимости системы безопасности.
Если список серверов не определен, а параметр Сетевая безопасность: ограничение NTLM — исходящий трафик NTLM к удаленным серверам включен, клиентские приложения, использующие NTLM, не смогут выполнять проверку подлинности на серверах, которые они ранее использовали.