Seguridad de red: restringir NTLM: agregar excepciones de servidor remoto para autenticación NTLM

Se aplica a

  • Windows 10

Describe los procedimientos recomendados, la ubicación, los valores, los aspectos de administración y las consideraciones de seguridad para la seguridad de red: Restringir NTLM: Agregar excepciones de servidor remoto para la configuración de directiva de seguridad de autenticación NTLM.

Referencia

La configuración seguridad de red: restringir NTLM: Agregar excepciones de servidor remoto para la configuración de directiva de autenticación NTLM permite crear una lista de excepciones de servidores remotos a los que los dispositivos cliente pueden usar la autenticación NTLM si está configurada la configuración de la directiva Seguridad de red: Restringir NTLM: Tráfico NTLM saliente a servidores remotos.

Si configura esta configuración de directiva, puede definir una lista de servidores remotos a los que los dispositivos cliente pueden usar la autenticación NTLM.

Si no configura esta configuración de directiva, no se aplicará ninguna excepción y si la seguridad de red: Restringir NTLM: el tráfico NTLM saliente a servidores remotos está habilitado, se producirá un error en los intentos de autenticación NTLM desde los dispositivos cliente.

Enumerar los nombres de servidor NetBIOS que usan las aplicaciones como el formato de nomenclatura, uno por línea. Para garantizar excepciones, los nombres que usan todas las aplicaciones deben estar en la lista. Un asterisco único (*) se puede usar en cualquier lugar de la cadena como carácter comodín.

Posibles valores

  • Lista definida por el usuario de servidores remotos

    Al especificar una lista de servidores remotos a los que los clientes pueden usar la autenticación NTLM, la directiva se define y habilita.

  • No definido

    Si no configura esta configuración de directiva definiendo una lista de servidores, la directiva no está definida y no se aplicará ninguna excepción.

Procedimientos recomendados

  1. Primero aplique la seguridad de red: restringir NTLM: auditar el tráfico NTLM entrante o seguridad de red: restringir NTLM: auditar la autenticación NTLM en esta configuración de directiva de dominio y, a continuación, revisar el registro de eventos operativos para comprender qué servidores participan en estos intentos de autenticación para que pueda decidir qué servidores excluir.

  2. Después de establecer la lista de excepciones del servidor, aplique la seguridad de red: restringir NTLM: auditar el tráfico NTLM entrante o seguridad de red: restringir NTLM: auditar la autenticación NTLM en esta configuración de directiva de dominio y, a continuación, revisar el registro de eventos operativos de nuevo antes de establecer las directivas para bloquear el tráfico NTLM.

Ubicación

Configuración del equipo\Windows Configuración\Seguridad Configuración\Directivas locales\Opciones de seguridad

Valores predeterminados

Tipo de servidor o GPO Valor predeterminado
Directiva de dominio predeterminada No definido
Directiva de controlador de dominio predeterminada No definido
Configuración predeterminada del servidor independiente No definido
Configuración predeterminada eficaz del controlador de dominio No definido
Configuración predeterminada eficaz del servidor miembro No definido
Configuración predeterminada efectiva del equipo cliente No definido

Administración de directivas

En esta sección se describen las características y herramientas disponibles para ayudarle a administrar esta directiva.

Requisito de reinicio

Ninguna. Los cambios en esta directiva se hacen efectivos sin reiniciar el dispositivo cuando se guardan localmente o se distribuyen a través de la directiva de grupo.

Directiva de grupo

Establecer e implementar esta directiva a través de la directiva de grupo tiene prioridad sobre la configuración en el dispositivo local. Si la configuración de directiva de grupo está establecida en No configurado, se aplicará la configuración local.

Auditoría

Vea el registro de eventos operativos para ver si la lista de excepciones del servidor funciona según lo previsto. Los eventos de auditoría y bloqueo se registran en este dispositivo en el registro de eventos operativos ubicado en Registro de aplicaciones y servicios\Microsoft\Windows\NTLM.

No hay directivas de auditoría de seguridad que se puedan configurar para ver los resultados de esta directiva.

Consideraciones de seguridad

En esta sección se describe cómo un atacante puede explotar una característica o su configuración, cómo implementar la contramedida y las posibles consecuencias negativas de la implementación de la contramedida.

Vulnerabilidad

Cuando se ha determinado que el protocolo de autenticación NTLM no debe usarse desde un dispositivo cliente a ningún servidor remoto porque es necesario usar un protocolo más seguro como Kerberos, es posible que algunas aplicaciones cliente aún usen NTLM. Si es así, y establece Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers to any of the deny options, esas aplicaciones producirán un error porque se bloqueará el tráfico de autenticación NTLM saliente desde el equipo cliente.

Si define una lista de excepciones de servidores a los que los dispositivos cliente pueden usar la autenticación NTLM, el tráfico de autenticación NTLM seguirá fluyendo entre esas aplicaciones cliente y servidores. A continuación, los servidores son vulnerables a cualquier ataque malintencionado que aproveche las debilidades de seguridad de NTLM.

Contramedida

Al usar Seguridad de red: restringir NTLM: tráfico NTLM saliente a servidores remotos en modo de solo auditoría, puede determinar revisando qué aplicaciones cliente están realizando solicitudes de autenticación NTLM a los servidores remotos del entorno. Cuando se evalúe, tendrá que determinar caso por caso si la autenticación NTLM aún cumple mínimamente los requisitos de seguridad. Si no es así, la aplicación cliente debe actualizarse para usar algo distinto de la autenticación NTLM.

Posible efecto

La definición de una lista de servidores para esta configuración de directiva habilitará el tráfico de autenticación NTLM desde la aplicación cliente que usa esos servidores, lo que podría provocar una vulnerabilidad de seguridad.

Si esta lista no está definida y la seguridad de red: restringir NTLM: el tráfico NTLM saliente a los servidores remotos está habilitado, las aplicaciones cliente que usan NTLM no se autenticarán en los servidores que han usado anteriormente.

Temas relacionados