Hogyan lehet megszabadulni az NTLM-től

Az NT LAN Manager-t (NTLM) a Windows NT rendszerrel vezették be, és még mindig olyan hálózatokban használják, amelyek a Windows XP előtti ügyfeleket vagy a Windows 2000 Server előtti verziókat tartalmazzák. Ezt a munkacsoport hálózatokban is használják, amikor Kerberos hitelesítés nem lehetséges. Az NTLM-hitelesítés azonban nem olyan biztonságos, mint a Kerberos-hitelesítés, így ha olyan hálózatot konfigurál, amely szélsőséges biztonságot igényel, és olyan tartományvezérlőket tartalmaz, amelyek Windows Server 2008 R2 rendszert futtatnak, és az ügyfelek Windows 7 rendszert futtatnak, Lehet, hogy korlátozni kívánja az NTLM használatát .

Szükséged lesz:
  • Egy tartományvezérlő, amely Windows Server 2008 R2 rendszert futtat
  • Felhasználói fiók, amely a Tartománygazdák csoport tagja
A következő lépések:

1

Kattintson a "Start" gombra. Válassza ki a "Felügyeleti eszközök" elemet a menüből, majd kattintson a "Csoportházirend-kezelő" menüre a "Csoportházirend-kezelő konzol" megnyitásához.

2

Bontsa ki az "Active Directory" csomópontját, majd a csomópont "domainje", a domain csomópont és a "tartományvezérlők". Válassza ki az "alapértelmezett tartományvezérlők" opciót.

3

Kattintson az "Alapértelmezett tartományvezérlők" gombra, majd válassza ki a "Szerkesztés" opciót a menüből.

4

Bontsa ki a "házirend" csomópontokat a "Számítógép konfigurációja" részben. Bontsa ki a "Windows konfiguráció" csomópontot, majd a "Biztonsági konfiguráció" és a "Helyi házirendek" csomópontot. Válassza ki a "Biztonsági beállítások" opciót.

5

Keresse meg a házirend-konfigurációs listát, és keresse meg a "Biztonsági hálózat: Az NTLM hitelesítés korlátozása ebben a tartományban" házirend-beállítást. Kattintson duplán a "Biztonsági házirend-beállítások" párbeszédpanel megnyitásához.

6

Jelölje be a "Meghatározza ezt a konfigurációt" jelölőnégyzetet.

7

A legördülő listából válassza ki a "Tartományi fiókok letiltása tartományi kiszolgálókra" lehetőséget, ha meg akarja akadályozni, hogy a tartományi felhasználók NTLM használatával hitelesítsék a tartományban lévő kiszolgálókat. A legördülő listából válassza ki a "Tartományi fiók letiltása" lehetőséget, ha meg szeretné akadályozni a felhasználók számára az NTLM hitelesítés használatát. Ha nem szeretné, hogy az NTLM-hitelesítéshez domain-kiszolgálókat használjon, válassza a "Tartományi kiszolgálók megtagadása" lehetőséget. Az NTLM-hitelesítés elkerülése érdekében válassza a „Tiltás” lehetőséget.

8

A módosítás elfogadásához kattintson az "Elfogadás" gombra. Ön figyelmeztet arra, hogy a beállítás befolyásolhatja az ügyfelekkel, szolgáltatásokkal és alkalmazásokkal való kompatibilitást. Kattintson az "Igen" gombra.

9

A "Csoportházirend-szerkesztő" címsorában kattintson a "Bezárás" gombra, majd a "Csoportházirend-kezelő konzol" címsorában kattintson a "Bezárás" gombra.

tippek
  • Ha egy vagy több számítógépnek hitelesítenie kell az NTLM használatát, engedélyezheti a házirend-beállítási opciót: "NTLM korlátozása: Szerver kivételek hozzáadása a tartományhoz" és a számítógép hozzáadása a listához.
  • Az NTLM korlátozása előtt az NTLM használatának megismerése érdekében fontolja meg a "hálózati biztonság: NTLM hitelesítési ellenőrzés ebben a tartományban" és "Hálózati biztonság: bejövő NTLM auditforgalom" lehetőséget.
  • Részletes információkat az egyes házirend-beállításokról a "Házirendbeállítások" párbeszédpanel "Magyarázza" lapján talál.
  • Az NTLM letiltása váratlan eredményekkel járhat. Az NTLM kikapcsolása előtt és után ellenőrizze a hálózatot, hogy létrehozza a szükséges kivételeket és csökkenti az állásidőt.