Come sbarazzarsi di NTLM

NT LAN Manager (NTLM) è stato introdotto con Windows NT e viene ancora utilizzato in reti che includono client o versioni precedenti a Windows XP precedenti a Windows 2000 Server. Viene anche utilizzato nelle reti di gruppi di lavoro quando l'autenticazione Kerberos non può essere negoziata. Tuttavia, l'autenticazione NTLM non è sicura come l'autenticazione Kerberos, quindi se si sta configurando una rete che richiede estrema sicurezza e include i controller di dominio che eseguono Windows Server 2008 R2 ei client utilizzano Windows 7, è Potresti voler limitare l'uso di NTLM .

Avrai bisogno di:
  • Un controller di dominio che esegue Windows Server 2008 R2
  • Account utente membro del gruppo Domain Administrators
Passi da seguire:

1

Fare clic sul pulsante "Start". Scegli la voce "Strumenti di amministrazione" dal menu, quindi fai clic sul menu "Gestione criteri di gruppo" per aprire la "Console Gestione criteri di gruppo".

2

Espandere il nodo per "Active Directory", seguito dal "dominio" del nodo, dal nodo del dominio e dai "controller di dominio". Seleziona l'opzione "controller di dominio predefinito".

3

Fare clic su "Default domain controller" e quindi selezionare l'opzione "Modifica" dal menu.

4

Espandere i nodi "Criteri" in "Configurazione computer". Espandere il nodo "Configurazione Windows" seguito da "Configurazione sicurezza" e il nodo "Criteri locali". Seleziona l'opzione "Opzioni di sicurezza".

5

Scorri l'elenco di configurazione dei criteri per trovare l'impostazione dei criteri "Rete di sicurezza: limita l'autenticazione NTLM in questo dominio". Fare doppio clic su di esso per aprire la finestra di dialogo "Impostazioni dei criteri di sicurezza".

6

Seleziona la casella di controllo "Definisci questa configurazione di".

7

Selezionare "Rifiuta gli account di dominio sui server di dominio" dall'elenco a discesa se si desidera impedire agli utenti di dominio di autenticare i server nel dominio utilizzando NTLM. Selezionare "Nega per account di dominio" dall'elenco a discesa se si desidera impedire agli utenti di utilizzare l'autenticazione NTLM. Selezionare "Nega per server di dominio", se si desidera evitare l'uso di server di dominio per l'autenticazione NTLM. Seleziona "Nega" per evitare qualsiasi autenticazione NTLM.

8

Fare clic sul pulsante "Accetta" per accettare la modifica. Sarai avvisato che l'adeguamento potrebbe influire sulla compatibilità con clienti, servizi e applicazioni. Fare clic sul pulsante "Sì".

9

Fare clic sul pulsante "Chiudi" nella barra del titolo di "Editor criteri di gruppo", quindi fare clic sul pulsante "Chiudi" nella barra del titolo della "Console Gestione Criteri di gruppo".

suggerimenti
  • Se uno o più computer devono autenticarsi utilizzando NTLM, è possibile abilitare l'opzione di impostazione dei criteri "Limita NTLM: aggiungi eccezioni server in questo dominio" e aggiungere il computer all'elenco.
  • Per scoprire se NTLM è utilizzato nella tua rete, considera di consentire "sicurezza di rete: verifica dell'autenticazione NTLM in questo dominio" e "Sicurezza di rete: traffico di controllo NTLM in entrata" prima della restrizione NTLM.
  • È possibile trovare informazioni dettagliate su ciascuna impostazione di criterio nella scheda "Spiegazione" della finestra di dialogo "Impostazioni politica".
  • La disabilitazione di NTLM può avere risultati imprevisti. Monitorare la rete prima e dopo aver disattivato NTLM per creare le eccezioni necessarie e ridurre i tempi di inattività.