Сетевая безопасность: ограничения NTLM — аудит проверки подлинности NTLM на этом домене

Содержит описание рекомендаций, расположения, значений, аспектов управления и вопросов безопасности для параметра политики безопасности Сетевая безопасность: ограничения NTLM — аудит проверки подлинности NTLM на этом домене.

Справка

Параметр политики Сетевая безопасность: ограничения NTLM: аудит проверки подлинности NTLM в этом домене позволяет проводить аудит проверки подлинности NTLM контроллера домена в этом домене.

Если включить этот параметр политики в контроллере домена, в журнал будет записываться только трафик проверки подлинности в этот контроллер домена.

Если эта политика аудита включена, она действует аналогично параметру политики Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене, но фактически не блокирует трафик. Таким образом, ее можно эффективно использовать, чтобы разобраться в трафике проверки подлинности, который поступает к контроллерам домена, а если нужно заблокировать этот трафик, можно включить параметр политики Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене и выбрать Запретить для учетных записей домена на серверах домена, Запретить для серверов домена или Запретить для учетных записей домена.

Возможные значения

  • Отключить

    Контроллер домена, на котором установлена эта политика, не будет записывать в журнал события для входящего трафика NTLM.

  • Включить для учетных записей домена на серверах домена

    Контроллер домена, в котором настроена данная политика, будет записывать в журнал события для попыток входа с проверкой подлинности NTLM для учетных записей в домене на серверы домена, когда проверка подлинности NTLM была бы запрещена из-за установки для параметра политики Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене значения Запретить для учетных записей домена на серверах домена.

  • Включить для учетных записей домена

    Контроллер домена будет записывать в журнал события для попыток входа с проверкой подлинности NTLM с использованием учетных записей домена, когда проверка подлинности NTLM была бы запрещена из-за установки для параметра политики Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене значения Запретить для учетных записей домена.

  • Не определено

    Это значение аналогично значению Отключить, и в результате его установки аудит трафика NTLM не осуществляется.

Рекомендации

В зависимости от среды и длительности тестирования регулярно проверяйте размер операционного журнала событий.

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Не определено

Политика контроллера домена по умолчанию

Не определено

Параметры автономного сервера по умолчанию

Не определено

Действующие параметры контроллера домена по умолчанию

Не определено

Действующие параметры рядового сервера по умолчанию

Не определено

Действующие параметры клиентского компьютера по умолчанию

Не определено

 

Управление политикой

В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения, вносимые в эту политику, вступают в силу без перезапуска системы после их локального сохранения или распространения через групповую политику.

Групповая политика

Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве. Если для групповой политики установлено значение Не настроено, будут применены локальные параметры.

Аудит

Просмотрите операционный журнал событий, чтобы определить, правильно ли работает эта политика. События аудита и блокировки записываются в операционный журнал событий на компьютере, расположенный в папке Журнал приложений и служб/Microsoft/Windows/NTLM. Используя систему коллекции событий аудита, можно собирать события для более эффективного анализа.

Политики событий аудита безопасности нельзя настроить для просмотра вывода из этой политики.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Проверка подлинности NTLM и NTLMv2 уязвима к различным вредоносным атакам, включая воспроизведение SMB, атаки "злоумышленник в середине" и атаки методом подбора. При уменьшении случаев проверки подлинности с помощью NTLM или их полном устранении из вашей среды операционная система Windows будет использовать более защищенные протоколы, например протокол Kerberos версии 5, или другие механизмы проверки подлинности, например с помощью смарт-карт.

Уязвимость

Включение этого параметра политики посредством ведения журнала указывает, какие устройства в сети или домене обрабатывают трафик NTLM. Удостоверение этих устройств можно использовать во вредоносных целях, если трафик проверки подлинности NTLM будет скомпрометирован. Этот параметр политики не предотвращает или не уменьшает уязвимость, поскольку служит только для целей аудита.

Меры противодействия

Ограничьте доступ к файлам журнала, если этот параметр политики включен в вашей рабочей среде.

Возможные последствия

Если не включить или не настроить этот параметр политики, сведения трафика проверки пользователя NTLM не будут записываться в журнал. Если включить этот параметр политики, будут выполняться только функции аудита; никакие улучшения безопасности не будут реализованы.

Связанные разделы

Параметры безопасности

 

 

Показ: