Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen
Hier werden bewährte Methoden, Speicherort, Werte sowie Verwaltungs- und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen beschrieben.
Referenzen
Mit der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen können Sie eine Ausnahmeliste von Servern in dieser Domäne erstellen, für die Clientgeräte die NTLM-Pass-Through-Authentifizierung verwenden dürfen, wenn eine der Verweigerungsoptionen in der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne festgelegt ist.
Wenn Sie diese Richtlinieneinstellung konfigurieren, können Sie eine Liste mit Servern in der Domäne definieren, für die Clientgeräte die NTLM-Authentifizierung verwenden dürfen.
Wenn Sie diese Richtlinieneinstellung nicht konfigurieren, werden keine Ausnahmen angewendet. Falls Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne aktiviert ist, schlagen alle NTLM-Authentifizierungsversuche in der Domäne fehl.
Listen Sie die NetBIOS-Servernamen als Benennungsformat auf (jeweils einen pro Zeile). Als Platzhalterzeichen kann an einer beliebigen Stelle in der Zeichenfolge ein Sternchen (*) verwendet werden.
Mögliche Werte
Benutzerdefinierte Liste von Servern
Wenn Sie eine Liste mit Servern in dieser Domäne eingeben, für die Clients die NTLM-Authentifizierung verwenden dürfen, ist die Richtlinie definiert und aktiviert.
Nicht definiert
Wenn Sie diese Richtlinieneinstellung nicht durch Definition einer Serverliste konfigurieren, ist die Richtlinie nicht definiert, und es werden keine Ausnahmen angewendet.
Bewährte Methoden
Erzwingen Sie zunächst die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen, und überprüfen Sie dann im Betriebsereignisprotokoll, welche Domänencontroller an diesen Authentifizierungsversuchen beteiligt sind. So können sie leichter entscheiden, welche Server ausgenommen werden sollen.
Erzwingen Sie nach dem Festlegen der Serverausnahmeliste die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen, und überprüfen Sie anschließend erneut das Betriebsereignisprotokoll, bevor Sie die Blockierung des NTLM-Datenverkehrs durch die Richtlinien festlegen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Gruppenrichtlinie
Das Festlegen und Bereitstellen dieser Richtlinie über die Gruppenrichtlinie hat Vorrang vor der Einstellung auf dem lokalen Gerät. Wenn für die Gruppenrichtlinie die Option Nicht konfiguriert festgelegt ist, gelten die lokalen Einstellungen.
Überwachung
Prüfen Sie im Betriebsereignisprotokoll, ob Ihre Serverausnahmeliste wie gewünscht funktioniert. Überwachungs- und Blockierungsereignisse werden auf dem Computer im Betriebsereignisprotokoll unter Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM erfasst.
Es gibt keine Sicherheitsüberwachungsrichtlinien, die konfiguriert werden können, um die Ausgabe dieser Richtlinie anzuzeigen.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Wenn festgelegt wurde, dass das NTLM-Authentifizierungsprotokoll in einer Domäne nicht verwendet werden soll, weil ein sichereres Protokoll wie etwa Kerberos erforderlich ist, wird in der Domäne unter Umständen dennoch NTLM-Authentifizierungsdatenverkehr übertragen. Wenn dies der Fall ist und Sie für Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne eine der Verweigerungsoptionen festlegen, schlagen alle NTLM-Authentifizierungsanforderungen fehl, da der Pass-Through-Mitgliedsserver die NTLM-Anforderung blockiert.
Wenn Sie eine Ausnahmeliste mit Servern in dieser Domäne definieren, für die Clientcomputer NTLM-Pass-Through-Authentifizierung verwenden dürfen, wird der NTLM-Authentifizierungsdatenverkehr weiterhin zwischen diesen Servern übertragen. Das macht die Server anfällig für böswillige Angriffe, die Sicherheitsschwachstellen in NTLM nutzen.
Gegenmaßnahme
Wenn Sie Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne nur im Überwachungsmodus verwenden, können Sie ermitteln, welche Clientanwendungen NTLM-Authentifizierungsanforderungen an die Pass-Through-Authentifizierungsserver senden. Nach der Auswertung müssen Sie situationsabhängig festlegen, ob die NTLM-Authentifizierung noch Ihre Sicherheitsanforderungen erfüllt.
Mögliche Auswirkung
Wenn Sie eine Liste mit Servern für diese Richtlinieneinstellung festlegen, ermöglichen Sie dadurch den NTLM-Authentifizierungsdatenverkehr zwischen diesen Servern. Dies kann zu einer Sicherheitslücke führen.
Wenn diese Liste nicht definiert wird und Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne aktiviert ist, schlägt die NTLM-Authentifizierung auf den zuvor verwendeten Pass-Through-Servern in der Domäne fehl.