Kako se znebiti NTLM

NT LAN Manager (NTLM) je bil uveden z Windows NT in se še vedno uporablja v omrežjih, ki vključujejo pred-Windows XP odjemalce ali različice pred Windows 2000 Serverjem. Uporablja se tudi v omrežjih za delovne skupine, ko ni mogoče pogajati o preverjanju pristnosti Kerberos. Vendar pa overjanje NTLM ni tako varno kot overjanje Kerberos, zato če konfigurirate omrežje, ki zahteva izjemno varnost, in vključite krmilnike domene, v katerih je nameščen operacijski sistem Windows Server 2008 R2, in odjemalci z operacijskim sistemom Windows 7, je Morda boste želeli omejiti uporabo NTLM .

Potrebovali boste:
  • Krmilnik domene, ki uporablja Windows Server 2008 R2
  • Uporabniški račun, ki je član skupine skrbnikov domene
Koraki, ki jih morate upoštevati:

1

Kliknite gumb "Start". V meniju izberite postavko »Skrbniška orodja« in kliknite meni »Upravljanje pravilnika skupine«, da odprete »Konzola za upravljanje pravilnika skupine«.

2

Razširite vozlišče za "Active Directory", ki mu sledi "domena" vozlišča, vozlišče domene in "krmilniki domene". Izberite možnost »privzeti krmilniki domene«.

3

Kliknite »Privzeti krmilniki domene« in nato v meniju izberite možnost »Uredi«.

4

Razširite vozlišča »Politika« v »Konfiguracija računalnika«. Razširite vozlišče "Konfiguracija Windows", ki mu sledijo "Varnostna konfiguracija" in vozlišče "Lokalne politike". Izberite možnost "Varnostne možnosti".

5

Pomikajte se po seznamu nastavitev pravilnikov in poiščite nastavitev pravilnika »Varnostno omrežje: Omejitev overjanja NTLM v tej domeni«. Dvokliknite nanj, da odprete pogovorno okno »Nastavitve varnostnih pravil«.

6

Potrdite polje »Določi to konfiguracijo«.

7

Na spustnem seznamu izberite »Zavrni domenske račune domenskim strežnikom«, če želite uporabnikom domene preprečiti avtentikacijo strežnikov v domeni z uporabo NTLM. Na spustnem seznamu izberite »Zavrni za račun domene«, če želite uporabnikom preprečiti uporabo overjanja NTLM. Če se želite izogniti uporabi domenskih strežnikov za overjanje NTLM, izberite »Zavrni za domače strežnike«. Izberite »Zavrni«, da preprečite kakršno koli overjanje NTLM.

8

Kliknite gumb »Sprejmi«, da sprejmete spremembo. Opozorjeni boste, da lahko prilagoditev vpliva na združljivost s strankami, storitvami in aplikacijami. Kliknite gumb "Da".

9

Kliknite gumb »Zapri« v naslovni vrstici »Urejevalnik pravilnika skupine« in nato v naslovni vrstici »Konzola za upravljanje pravilnika skupine« kliknite gumb »Zapri«.

Nasveti
  • Če mora eden ali več računalnikov preveriti pristnost z uporabo protokola NTLM, lahko omogočite možnost nastavitve pravilnika »Omeji NTLM: dodajte izjeme strežnika v tej domeni« in dodajte računalnik na seznam.
  • Če želite izvedeti, ali je v vašem omrežju uporabljen NTLM, pred omejitvijo NTLM dovolite "varnost omrežja: preizkus pristnosti NTLM v tej domeni" in "Varnost omrežja: vhodni promet za preverjanje NTLM".
  • Podrobne informacije o vsaki nastavitvi pravilnika najdete na zavihku »Razloži« v pogovornem oknu »Nastavitve pravilnika«.
  • Če onemogočite NTLM, lahko pride do nepričakovanih rezultatov. Nadzirajte omrežje pred in po deaktiviranju NTLM, da ustvarite potrebne izjeme in zmanjšate čas nedelovanja.