Come sbarazzarsi di NTLM

May 3

Come sbarazzarsi di NTLM


NT LAN Manager (NTLM) è stato introdotto con Windows NT ed è ancora usato sulle reti che includono i client precedenti a Windows XP o server precedenti a Windows 2000 Server. E 'anche usato quando l'autenticazione degli utenti in un ambiente di gruppo di lavoro e in un dominio quando l'autenticazione Kerberos non può essere negoziata. Tuttavia, l'autenticazione NTLM non è sicuro come l'autenticazione Kerberos, quindi se si sta configurando una rete che richiede una forte sicurezza e comprende i controller di dominio che eseguono Windows Server 2008 R2 e client che eseguono Windows 7, si potrebbe desiderare di limitare l'uso di NTLM.

istruzione

1 Fare clic sul pulsante "Start". Punto alla voce di menu "Strumenti di amministrazione", quindi fare clic sulla voce di menu "Gestione Criteri di gruppo" per aprire il "Group Policy Management Console."

2 Espandere il nodo relativo al bosco "Active Directory", seguito dal nodo "Domini", il nodo per il dominio e il nodo "Controller di dominio". Selezionare il criterio "controller di dominio predefiniti".

3 Fare clic sul criterio "controller di dominio predefinite", quindi selezionare la voce di menu "Modifica".

4 Espandere il nodo "Linee guida" sotto "Configurazione computer". Espandere il nodo "Impostazioni di Windows" seguito dal nodo "Impostazioni di sicurezza" e il nodo "Criteri locali". Selezionare il nodo "Opzioni di protezione".

5 Scorrere l'elenco delle impostazioni dei criteri per individuare la "sicurezza di rete: limita l'autenticazione NTLM in questo dominio" impostazione. Fare doppio clic su di esso per aprire la finestra di dialogo "Impostazioni sulla sicurezza".

6 Seleziona la casella "Definisci questa impostazione".

7 Selezionare "Nega per gli account di dominio per server di dominio" dal menu a discesa, se si vuole evitare che gli utenti del dominio da autenticazione al server nel dominio tramite NTLM. Selezionare "Nega per account di dominio" dal menu a discesa, se si vuole evitare che gli utenti dominio di accedere utilizzando l'autenticazione NTLM. Selezionare "Nega per server di dominio" se si vuole evitare che i server di dominio da utilizzare per l'autenticazione NTLM. Selezionare "Nega tutto" per evitare qualsiasi autenticazione NTLM.

8 Fare clic sul pulsante "OK" per accettare la modifica. Verrà richiesto con un avvertimento che l'impostazione potrebbe influenzare la compatibilità con i clienti, servizi e applicazioni. Fare clic sul pulsante "Sì".

9 Fare clic sul pulsante "Chiudi" nella barra del titolo della "Gestione Criteri di gruppo," e quindi fare clic sul pulsante "Chiudi" nella barra del titolo del "Group Policy Management Console."

Consigli e avvertenze

  • Se uno o più computer ha bisogno di autenticarsi tramite NTLM, è possibile attivare la "Limita NTLM: Aggiungere eccezioni del server in questo campo" impostazione e aggiungere il computer all'elenco.
  • Per scoprire se NTLM è in uso sulla rete, è consigliabile attivare la "sicurezza di rete: Audit autenticazione NTLM in questo settore" e "La sicurezza di rete: controllo del traffico NTLM in entrata" prima di limitare NTLM.
  • Si possono trovare informazioni dettagliate su ogni impostazione sulla scheda "spiegare" della finestra di dialogo "Policy Setting".
  • Disattivazione NTLM potrebbe avere risultati inaspettati. Monitorare la rete prima e dopo la disattivazione NTLM per creare eccezioni necessarie e ridurre i tempi di inattività.