Сетевая безопасность: ограничения NTLM — входящий трафик NTLM
Содержит описание рекомендаций, расположения, значений, аспектов управления и вопросов безопасности для параметра политики безопасности Сетевая безопасность: ограничения NTLM — входящий трафик NTLM.
Справка
Параметр политики Сетевая безопасность: ограничения NTLM — входящий трафик NTLM позволяет запретить или разрешить входящий трафик NTLM от клиентских компьютеров, других рядовых серверов или контроллера домена.
Возможные значения
Разрешить все
Сервер будет разрешать все запросы проверки подлинности NTLM.
Запретить все учетные записи домена
Сервер будет отклонять все запросы проверки подлинности NTLM для входа в домен и возвращать и записывать в журнал ошибку блокировки NTLM для клиентского устройства, разрешая при этом вход в систему для локальных учетных записей.
Запретить все учетные записи
Сервер будет отклонять все запросы проверки подлинности NTLM из входящего трафика (при входе с использованием учетной записи домена или локальной учетной записи), возвращать сообщение об ошибке блокировки NTLM на клиентском устройстве и записывать сведения об ошибке в журнал.
Не определено
Этот параметр аналогичен параметру Разрешить все, и сервер будет разрешать все запросы проверки подлинности NTLM.
Рекомендации
Если выбрать Запретить все учетные записи домена или Запретить все учетные записи, входящий трафик NTLM к рядовому серверу будет ограничен. Лучше установить параметр политики Сетевая безопасность: ограничения NTLM — аудит входящего трафика NTLM, а затем просмотреть операционный журнал, чтобы понять, какие попытки проверки подлинности осуществляются к рядовым серверам члена и, затем, какие клиентские приложения используют NTLM.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения, вносимые в эту политику, вступают в силу без перезапуска системы после их локального сохранения или распространения через групповую политику.
Групповая политика
Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве. Если для групповой политики установлено значение Не настроено, будут применены локальные параметры.
Аудит
Просмотрите операционный журнал событий, чтобы определить, правильно ли работает эта политика. События аудита и блокировки записываются в операционный журнал событий на компьютере, расположенный в папке Журнал приложений и служб/Microsoft/Windows/NTLM.
Политики событий аудита безопасности нельзя настроить для просмотра события вывода из этой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Проверка подлинности NTLM и NTLMv2 уязвима к различным вредоносным атакам, включая воспроизведение SMB, атаки "злоумышленник в середине" и атаки методом подбора. При уменьшении случаев проверки подлинности с помощью NTLM или их полном устранении из вашей среды операционная система Windows будет использовать более защищенные протоколы, например протокол Kerberos версии 5, или другие механизмы проверки подлинности, например с помощью смарт-карт.
Уязвимость
Вредоносные атаки в трафике проверки подлинности NTLM, которые могут скомпрометировать сервер, могут произойти только в случае, если сервер обрабатывает запросы NTLM. Если эти запросы отклоняются, атаки методом подбора на NTLM исключены.
Меры противодействия
Если протокол проверки NTLM не может использоваться в сети, так как требуется более безопасный протокол, например Kerberos, вы можете выбрать один из нескольких параметров, которые предлагает этот параметр политики безопасности, чтобы ограничить использование NTLM.
Возможные последствия
Если настроить этот параметр политики, многочисленные запросы проверки подлинности NTLM завершатся сбоем в сети, и это может привести к снижению производительности. Прежде чем приступить к реализации этого изменения для данного параметра политики, установите для параметра Сетевая безопасность: ограничения NTLM — аудит входящего трафика NTLM то же значение, чтобы обеспечить себе возможность просматривать журнал для поиска потенциального воздействия, выполнять анализ серверов и создавать список исключений для исключения серверов из этого параметра политики Сетевая безопасность: ограничения NTLM — добавить исключения для серверов в этом домене.