Сетевая безопасность: ограничения NTLM — исходящий трафик NTLM к удаленным серверам
Содержит описание рекомендаций, расположения, значений, аспектов управления и вопросов безопасности для параметра политики безопасности Сетевая безопасность: ограничения NTLM — исходящий трафик NTLM к удаленным серверам.
Справка
Параметр политики Сетевая безопасность: ограничения NTLM — исходящий трафик NTLM к удаленным серверам позволяет отклонить или провести аудит исходящего трафика NTLM от компьютеров под управлением Windows 7, Windows Server 2008 или более поздних версий к любому удаленному серверу под управлением операционной системы Windows.
Предупреждение
Изменение этого параметра политики может повлиять на совместимость с клиентскими компьютерами, службами и приложениями.
Возможные значения
Разрешить все
Устройство может проверять подлинность удостоверений удаленных серверов с помощью проверки подлинности NTLM, поскольку ограничения отсутствуют.
Аудит всего
Устройство, отправляющее запросы проверки подлинности NTLM к удаленному серверу, записывает в журнал события для каждого запроса. Это позволяет определить серверы, которые получают запросы проверки подлинности NTLM от клиентского устройства.
Запретить все
Устройство не сможет проверить подлинность удостоверений на удаленном сервере с помощью проверки подлинности NTLM. Вы можете использовать параметр политики Сетевая безопасность: ограничения NTLM — добавить удаленные серверы в исключения проверки подлинности NTLM для определения списка удаленных серверов, на которых клиентским устройствам разрешено использовать проверку подлинности NTLM, в то время как другим устройствам это не будет разрешено. Этот параметр также запишет в журнал событие на устройстве, отправляющем запрос проверки подлинности.
Не определено
Это значение аналогично значению Разрешить все, и устройство будет разрешать все запросы проверки подлинности NTLM, если политика развернута.
Рекомендации
Если выбрать параметр Отклонить все, клиентское устройство не сможет проверить подлинность удостоверений на удаленном сервере с помощью проверки подлинности NTLM. Сначала выберите Аудит всего, а затем просмотрите операционный журнал событий, чтобы понять, какие серверы участвуют в таких попытках проверки подлинности. Затем можно добавить эти имена серверов в список исключений сервера с помощью параметра политики Сетевая безопасность: ограничения NTLM — добавить удаленные серверы в исключения проверки подлинности NTLM.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения, вносимые в эту политику, вступают в силу без перезапуска системы после их локального сохранения или распространения через групповую политику.
Групповая политика
Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве. Если для групповой политики установлено значение Не настроено, будут применены локальные параметры.
Аудит
Просмотрите операционный журнал событий, чтобы определить, правильно ли работает эта политика. События аудита и блокировки записываются в операционный журнал событий на компьютере, расположенный в папке Журнал приложений и служб/Microsoft/Windows/NTLM.
Политики событий аудита безопасности нельзя настроить для просмотра события вывода из этой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Проверка подлинности NTLM и NTLMv2 уязвима к различным вредоносным атакам, включая воспроизведение SMB, атаки "злоумышленник в середине" и атаки методом подбора. При уменьшении случаев проверки подлинности с помощью NTLM или их полном устранении из вашей среды операционная система Windows будет использовать более защищенные протоколы, например протокол Kerberos версии 5, или другие механизмы проверки подлинности, например с помощью смарт-карт.
Уязвимость
Вредоносные атаки в трафике проверки подлинности NTLM, возникающие в скомпрометированном сервере или контроллере домена, могут осуществляться только в случае, если сервер или контроллер домена обрабатывает запросы NTLM. Если эти запросы отклоняются, такая возможность атаки исключается.
Меры противодействия
Если протокол проверки NTLM не может использоваться в сети, так как требуется более безопасный протокол, например Kerberos, вы можете выбрать один из нескольких параметров, чтобы ограничить использование NTLM на серверах.
Возможные последствия
Если настроить этот параметр политики так, чтобы отклонять все запросы, многочисленные запросы проверки подлинности NTLM к удаленным серверам могут завершаться сбоем, что может привести к снижению производительности. Прежде чем приступить к реализации этого ограничения, используя этот параметр политики, выберите Аудит всего, чтобы просмотреть журнал и узнать потенциальное воздействие, выполнить анализ серверов и создать список исключений для серверов для исключения серверов из этого параметра политики с помощью параметра Сетевая безопасность: ограничения NTLM — добавить удаленные серверы в исключения проверки подлинности NTLM.