Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr
Hier werden bewährte Methoden, Speicherort, Werte sowie Verwaltungs- und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr beschrieben.
Referenzen
Mit der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr können Sie eingehenden NTLM-Datenverkehr auf Clientcomputern, anderen Mitgliedsservern oder einem Domänencontroller verweigern oder zulassen.
Mögliche Werte
Alle zulassen
Der Server lässt alle NTLM-Authentifizierungsanforderungen zu.
Alle Domänenkonten verweigern
Der Server verweigert NTLM-Authentifizierungsanforderungen für die Domänenanmeldung, gibt eine Fehlermeldung mit dem Hinweis, dass NTLM blockiert ist, an das Clientgerät zurück und protokolliert den Fehler. Die Anmeldung an einem lokalen Konto ist jedoch möglich.
Alle Konten verweigern
Der Server verweigert NTLM-Authentifizierungsanforderungen aus dem gesamten eingehenden Datenverkehr (unabhängig davon, ob es sich um eine Anmeldung beim Domänenkonto oder eine Anmeldung beim lokalen Konto handelt), gibt eine Fehlermeldung mit dem Hinweis, dass NTLM blockiert ist, an das Clientgerät zurück und protokolliert den Fehler.
Nicht definiert
Diese Option ist identisch mit Alle zulassen, und der Server lässt alle NTLM-Authentifizierungsanforderungen zu.
Bewährte Methoden
Bei Auswahl von Alle Domänenkonten verweigern oder Alle Konten verweigern wird der eingehende NTLM-Datenverkehr an den Mitgliedsserver beschränkt. Es wird empfohlen, die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen festzulegen und anschließend im Betriebsprotokoll zu überprüfen, welche Authentifizierungsversuche für die Mitgliedsserver ausgeführt werden und welche Clientanwendungen NTLM nutzen.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Gruppenrichtlinie
Das Festlegen und Bereitstellen dieser Richtlinie mit der Gruppenrichtlinie hat Vorrang vor der Einstellung auf dem lokalen Gerät. Wenn für die Gruppenrichtlinie die Option Nicht konfiguriert festgelegt ist, gelten die lokalen Einstellungen.
Überwachung
Prüfen Sie im Betriebsereignisprotokoll, ob diese Richtlinie wie gewünscht funktioniert. Überwachungs- und Blockierungsereignisse werden auf dem Computer im Betriebsereignisprotokoll unter Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM erfasst.
Es gibt keine Richtlinien für Sicherheitsüberwachungsereignisse, die zum Anzeigen der Ausgabe dieser Richtlinie konfiguriert werden können.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
NTLM- und NTLMv2-Authentifizierung ist anfällig für eine Vielzahl böswilliger Angriffe, u. a. SMB Relay-, Man-in-the-Middle- und Brute-Force-Angriffe. Wenn Sie die NTLM-Authentifizierung in Ihrer Umgebung immer weniger und schließlich gar nicht mehr einsetzen, wird das Windows-Betriebssystem dazu veranlasst, sicherere Protokolle wie etwa Kerberos Version 5 oder andere Authentifizierungsmechanismen wie Smartcards zu verwenden.
Sicherheitsrisiko
Böswillige Angriffe auf NTLM-Authentifizierungsdatenverkehr, die zu einer Gefährdung des Servers führen, sind nur möglich, wenn der Server NTLM-Anforderungen behandelt. Wenn diese Anforderungen verweigert werden, wird das Risiko von Brute-Force-Angriffen eliminiert.
Gegenmaßnahme
Wenn festgelegt wurde, dass das NTLM-Authentifizierungsprotokoll in einem Netzwerk nicht verwendet werden sollte, weil ein sichereres Protokoll wie etwa Kerberos erforderlich ist, können Sie eine der Optionen der Sicherheitsrichtlinieneinstellung auswählen, um die NTLM-Nutzung einzuschränken.
Mögliche Auswirkung
Wenn Sie diese Richtlinieneinstellung konfigurieren, können zahlreiche NTLM-Authentifizierungsanforderungen in Ihrem Netzwerk fehlschlagen, wodurch die Produktivität beeinträchtigt werden kann. Bevor Sie diese Änderung mithilfe dieser Richtlinieneinstellung implementieren, legen Sie für Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen dieselbe Option fest. So können Sie das Protokoll auf mögliche Auswirkungen überprüfen, eine Serveranalyse ausführen und eine Ausnahmeliste mit Servern erstellen, die von der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen ausgeschlossen werden sollen.