Hvordan slippe af med NTLM

NT LAN Manager (NTLM) blev introduceret med Windows NT og bruges stadig i netværk, der omfatter før-Windows XP-klienter eller versioner forud for Windows 2000 Server. Den bruges også i arbejdsgruppe netværk, når Kerberos-godkendelse ikke kan forhandles. NTLM-godkendelse er dog ikke så sikker som Kerberos-godkendelse, så hvis du konfigurerer et netværk, der kræver ekstrem sikkerhed, og omfatter domænecontrollere, der kører Windows Server 2008 R2, og klienter kører Windows 7, er det Du vil muligvis begrænse brugen af ​​NTLM .

Du skal bruge:
  • En domænecontroller, der kører Windows Server 2008 R2
  • Brugerkonto, der er medlem af gruppen Domain Administrators
Fremgangsmåden for at følge

1

Klik på "Start" knappen. Vælg menuen "Administrative Tools" i menuen, og klik derefter på menuen "Group Policy Management" for at åbne "Group Policy Management Console".

2

Udvid noden til "Active Directory", efterfulgt af "domænet" af noden, domænenoden og "domænecontrollere". Vælg indstillingen "domænecontrollere".

3

Klik på "Default domain controllers" og vælg derefter "Edit" i menuen.

4

Udvid "Policy" noderne i "Computer Configuration." Udvid "Windows Configuration" node efterfulgt af "Security Configuration" og "Local Policies" node. Vælg indstillingen "Sikkerhedsindstillinger".

5

Rul gennem politikens konfigurationsliste for at finde politikindstillingen "Sikkerhedsnetværk: Begræns NTLM-godkendelse på dette domæne." Dobbeltklik på den for at åbne dialogboksen "Sikkerhedspolitikens indstillinger".

6

Marker afkrydsningsfeltet "Definer denne konfiguration af".

7

Vælg "Nægt domænekonti til domæneservere" fra rullelisten, hvis du vil forhindre domænebrugere i at autentificere servere i domænet ved hjælp af NTLM. Vælg "Nægt domænekonto" fra rullelisten, hvis du vil forhindre brugere i at bruge NTLM-godkendelse. Vælg "Afvis for domæneservere", hvis du vil undgå brugen af ​​domæneservere til NTLM-godkendelse. Vælg "Afvis" for at undgå enhver NTLM-godkendelse.

8

Klik på "Accept" knappen for at acceptere ændringen. Du bliver advaret om, at justeringen kan påvirke kompatibilitet med kunder, tjenester og applikationer. Klik på "Ja" knappen.

9

Klik på knappen "Luk" i titellinjen i "Gruppepolicy Editor", og klik derefter på knappen "Luk" i titellinjen i "Gruppepolicy Management Console".

tips
  • Hvis en eller flere computere skal godkendes ved hjælp af NTLM, kan du aktivere indstillingerne for politikindstilling "Begræns NTLM: Tilføj server undtagelser i dette domæne" og tilføj computeren til listen.
  • For at finde ud af, om NTLM bruges i dit netværk, overvej at tillade, at "netværkssikkerhed: NTLM-godkendelsesrevision i dette domæne" og "Netværkssikkerhed: indgående NTLM-audittrafik" før NTLM-begrænsningen.
  • Du kan finde detaljerede oplysninger om hver politikindstilling på fanen "Forklar" i dialogboksen "Politiske indstillinger".
  • Deaktivering af NTLM kan have uventede resultater. Overvåg netværket før og efter deaktivering af NTLM for at skabe de nødvendige undtagelser og reducere nedetid.