Сетевая безопасность: ограничения NTLM — проверка подлинности NTLM на этом домене
Содержит описание рекомендаций, расположения, значений, аспектов управления и вопросов безопасности для параметра политики безопасности Сетевая безопасность: ограничения NTLM — проверка подлинности NTLM на этом домене.
Справка
Параметр политики Сетевая безопасность: ограничения NTLM: проверка подлинности NTLM в этом домене позволяет отклонить или разрешить проверку подлинности NTLM внутри домена с этого контроллера домена. Этот параметр политики не влияет на интерактивный вход в систему этого контроллера домена.
Возможные значения
Отключить
Контроллер домена разрешит прохождение всех запросов сквозной проверки подлинности NTLM в домене.
Запретить для учетных записей домена на серверах домена
Контроллер домена будет отклонять все попытки входа с этого домена с использованием проверки подлинности NTLM на все серверы домена. Попытки проверки подлинности NTLM блокируются, и будет возвращена ошибка блокировки NTLM, если имя сервера не окажется в списке исключений в параметре политики Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене.
NTLM можно использовать, если пользователи подключаются к другим доменам. Это зависит от того, установлены ли политики ограничения NTLM в этих доменах.
Запретить для учетных записей домена
Контроллер домена будет отклонять все попытки входа учетных записей домена с использованием проверки подлинности NTLM и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене.
Запретить для серверов домена
Контроллер домена будет отклонять попытки проверки подлинности NTLM ко всем серверам домена и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене. Серверы, не присоединенные к домену, затронуты не будут, если этот параметр политики настроен.
Запретить все
Контроллер домена будет отклонять все сквозные запросы проверки подлинности NTLM от своих серверов и для своих учетных записей и будет возвращать ошибку блокировки NTLM, если имя сервера отсутствует в списке исключений параметра политики Сетевая безопасность: ограничения NTLM: добавить исключения для серверов в этом домене.
Не определено
Контроллер домена будет разрешать все запросы проверки подлинности NTLM в домене, где развернута политика.
Рекомендации
Если выбрать любой из запрещающих вариантов, входящий трафик NTLM к домену будет ограничен. Сначала задайте параметр политики Сетевая безопасность: ограничения NTLM: аудит проверки подлинности NTLM в этом домене, а затем просмотрите операционный журнал, чтобы понять, какие именно попытки проверки подлинности осуществляются на рядовых серверах. Затем вы можете добавить эти имена рядовых серверов в список исключений сервера с помощью параметра политики Сетевая безопасность: ограничения NTLM — добавить исключения для серверов на этом домене.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не настроено |
Политика контроллера домена по умолчанию |
Не настроено |
Параметры автономного сервера по умолчанию |
Не настроено |
Действующие параметры контроллера домена по умолчанию |
Не настроено |
Действующие параметры рядового сервера по умолчанию |
Не настроено |
Действующие параметры клиентского компьютера по умолчанию |
Не настроено |
Управление политикой
В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения, вносимые в эту политику, вступают в силу без перезапуска системы после их локального сохранения или распространения через групповую политику.
Групповая политика
Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве. Если для групповой политики установлено значение Не настроено, будут применены локальные параметры.
Аудит
Просмотрите операционный журнал событий, чтобы определить, правильно ли работает эта политика. События аудита и блокировки записываются в операционный журнал событий на компьютере, расположенный в папке Журнал приложений и служб/Microsoft/Windows/NTLM.
Политики событий аудита безопасности нельзя настроить для просмотра вывода из этой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Проверка подлинности NTLM и NTLMv2 уязвима к различным вредоносным атакам, включая воспроизведение SMB, атаки "злоумышленник в середине" и атаки методом подбора. При уменьшении случаев проверки подлинности с помощью NTLM или их полном устранении из вашей среды операционная система Windows будет использовать более защищенные протоколы, например протокол Kerberos версии 5, или другие механизмы проверки подлинности, например с помощью смарт-карт.
Уязвимость
Вредоносные атаки в трафике проверки подлинности NTLM, возникающие в скомпрометированном сервере или контроллере домена, могут осуществляться только в случае, если сервер или контроллер домена обрабатывает запросы NTLM. Если эти запросы отклоняются, такая возможность атаки исключается.
Меры противодействия
Если протокол проверки NTLM не может использоваться в сети, так как требуется более безопасный протокол, например Kerberos, вы можете выбрать один из нескольких параметров, которые предлагает этот параметр политики безопасности, чтобы ограничить использование NTLM внутри домена.
Возможные последствия
Если настроить этот параметр политики, многочисленные запросы проверки подлинности NTLM завершатся сбоем в домене, и это может привести к снижению производительности. Прежде чем приступить к реализации этого изменения для данного параметра политики, установите для параметра Сетевая безопасность: ограничения NTLM — аудит проверки подлинности NTLM в этом домене то же значение, чтобы обеспечить себе возможность просматривать журнал для поиска потенциального воздействия, выполнять анализ серверов и создавать список исключений для исключения серверов из этого параметра политики с помощью параметра Сетевая безопасность: ограничения NTLM — добавить исключения для серверов в этом домене.