Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене

Содержит описание рекомендаций, расположения, значений, аспектов управления и вопросов безопасности для параметра политики безопасности Сетевая безопасность: ограничения NTLM — добавить исключения для серверов на этом домене.

Справка

Параметр политики Сетевая безопасность: ограничения NTLM — добавить исключения для серверов на этом домене позволяет создать список исключений серверов в этом домене, на которых клиентским устройствам разрешается использовать сквозную проверку подлинности NTLM, если в параметре политики Сетевая безопасность: ограничения NTLM — проверка подлинности NTLM на этом домене установлены какие-либо запрещающие параметры.

При настройке этого параметра политики можно указать список серверов на этом домене, на которых клиентским устройствам разрешено использовать проверку подлинности NTLM.

Если не настроить этот параметр политики, исключения не будут применяться, и если параметр Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене включен, любые попытки проверки подлинности NTLM в домене будут отклонены.

Перечислите имена серверов NetBIOS в формате имен, по одному в строке. Символ звездочки (*) можно использовать в любой строке как подстановочный знак.

Возможные значения

  • Определяемый пользователем список серверов

    При вводе списка серверов в этом домене, на которых клиентам разрешено использовать проверку подлинности NTLM, политика определяется и включается.

  • Не определено

    Если не настроить этот параметр политики путем определения списка серверов, то политика не будет определена, а исключения не будут применены.

Рекомендации

  1. Сначала примените параметр политики Сетевая безопасность: ограничения NTLM — аудит проверки подлинности NTLM на этом домене, а затем просмотрите операционный журнал событий, чтобы понять, какие контроллеры домена принимают участие в осуществлении таких попыток проверки подлинности, и решить, какие серверы следует исключить.

  2. Создав список исключений сервера, примените параметр политики Сетевая безопасность: ограничения NTLM — аудит проверки подлинности NTLM на этом домене, а затем снова просмотрите операционный журнал событий перед установкой политик для блокировки трафика NTLM.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не определено

Действующие параметры контроллера домена по умолчанию

Не определено

Действующие параметры рядового сервера по умолчанию

Не определено

Действующие параметры клиентского компьютера по умолчанию

Не определено

 

Управление политикой

В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения, вносимые в эту политику, вступают в силу без перезапуска системы после их локального сохранения или распространения через групповую политику.

Групповая политика

Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве. Если для групповой политики установлено значение Не настроено, будут применены локальные параметры.

Аудит

Просмотрите операционный журнал событий, чтобы определить, правильно ли работает список исключений серверов. События аудита и блокировки записываются в операционный журнал событий на компьютере, расположенный в папке Журнал приложений и служб/Microsoft/Windows/NTLM.

Политики аудита безопасности нельзя настроить для просмотра вывода из этой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Если протокол проверки NTLM не должен использоваться в домене, так как требуется более безопасный протокол, например Kerberos, возможно, в домене все еще присутствует трафик проверки подлинности NTLM. Если это так, а для параметра Сетевая безопасность: ограничения NTLM — проверка подлинности NTLM на этом домене настроен любой из запрещающих вариантов, все запросы проверки подлинности NTLM будут завершаться ошибкой, так как сквозной рядовой сервер будет блокировать запросы NTLM.

Если указать список исключений серверов в этом домене, на которых клиентским компьютерам разрешено использовать сквозную проверку подлинности NTLM, то обмен трафиком проверки подлинности NTLM между этими серверами продолжится, что приводит к уязвимости к вредоносным атакам, в ходе которых злоумышленник может воспользоваться слабыми местами системы безопасности в NTLM.

Меры противодействия

При использовании параметра Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене в режиме только для аудита можно определить, какие клиентские приложения отправляют запросы проверки подлинности NTLM к сквозным серверам проверки подлинности. После оценки необходимо будет на индивидуальной основе определить, отвечает ли минимальным требованиям безопасности проверка подлинности NTLM.

Возможные последствия

При определении списка серверов для этого параметра политики будет включен трафик проверки подлинности NTLM между этими серверами, и это может привести к уязвимости системы безопасности.

Если список серверов не определен, а параметр Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене включен, выполнить проверку подлинности NTLM на таких сквозных серверах, которые использовались ранее, не удастся.

Связанные разделы

Параметры безопасности

 

 

Показ: