Sécurité réseau: restreindre NTLM: trafic NTLM sortant vers des serveurs distantsNetwork security: Restrict NTLM: Outgoing NTLM traffic to remote servers

S’applique àApplies to

  • Windows10Windows10

Décrit les bonnes pratiques, l’emplacement, les valeurs, les aspects de la gestion et les considérations en matière de sécurité pour le paramètre sécurité du réseau: restreindre le trafic NTLM entrant vers les serveurs distants .Describes the best practices, location, values, management aspects, and security considerations for the Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers security policy setting.

RéférenceReference

Le paramètre de stratégie sécurité du réseau: limiter le trafic NTML vers les serveurs distants vous permet de refuser ou d’analyser le trafic NTLM sortant à partir d’un ordinateur exécutant le système d’exploitation Windows, windows Server 2008 ou une version ultérieure.The Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers policy setting allows you to deny or audit outgoing NTLM traffic from a computer running Windows7, Windows Server 2008, or later to any remote server running the Windows operating system.

AVERTISSEMENT: la modification de ce paramètre de stratégie risque d’affecter la compatibilité avec les ordinateurs, services et applications clientes.Warning: Modifying this policy setting may affect compatibility with client computers, services, and applications.

Valeurs possiblesPossible values

  • Autoriser toutAllow all

    L’appareil peut authentifier les identités sur un serveur distant en utilisant l’authentification NTLM, car il n’existe aucune restriction.The device can authenticate identities to a remote server by using NTLM authentication because no restrictions exist.

  • Tout vérifierAudit all

    L’appareil qui envoie la demande d’authentification NTLM à un serveur distant enregistre un événement pour chaque demande.The device that sends the NTLM authentication request to a remote server logs an event for each request. Cela vous permet d’identifier les serveurs qui reçoivent des demandes d’authentification NTLM de l’appareil client.This allows you to identify those servers that receive NTLM authentication requests from the client device

  • Tout refuserDeny all

    L’appareil ne peut authentifier aucune identité sur un serveur distant à l’aide de l’authentification NTLM.The device cannot authenticate any identities to a remote server by using NTLM authentication. Vous pouvez utiliser le paramètre sécurité du réseau: limiter les autorisations NTLM: ajouter des exceptions du serveur distant pour la stratégie d’authentification NTLM pour définir une liste de serveurs distants pour lesquels les appareils clients sont autorisés à utiliser l’authentification NTLM lors du refus d’autres utilisateurs.You can use the Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication policy setting to define a list of remote servers to which client devices are allowed to use NTLM authentication while denying others. Ce paramètre enregistre également un événement sur l’appareil à l’aide de la demande d’authentification.This setting will also log an event on the device that is making the authentication request.

  • Non définieNot defined

    Il en va de même pour Allow All, et l’appareil autorise toutes les demandes d’authentification NTLM lors du déploiement de la stratégie.This is the same as Allow all, and the device will allow all NTLM authentication requests when the policy is deployed.

Bonnes pratiquesBest practices

Si vous sélectionnez refuser tout, l’appareil client ne peut pas authentifier les identités d’un serveur distant à l’aide de l’authentification NTLM.If you select Deny all, the client device cannot authenticate identities to a remote server by using NTLM authentication. Tout d’abord, sélectionnez audit All et examinez le journal des événements opérationnels pour savoir quels serveurs participent à ces tentatives d’authentification.First, select Audit all and then review the operational event log to understand which servers are involved in these authentication attempts. Vous pouvez ensuite ajouter ces noms de serveurs à une liste d’exceptions du serveur à l’aide du paramètre sécurité du réseau: restreindre NTLM: ajouter des exceptions du serveur distant pour la stratégie d’authentification NTLM .You can then add those server names to a server exception list by using the Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication policy setting.

LocalisationLocation

Configuration de l’ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécuritéComputer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Valeurs par défautDefault values

Type de serveur ou GPOServer type or GPO Valeur par défautDefault value
Stratégie de domaine par défautDefault domain policy Non définieNot defined
Stratégie de contrôleur de domaine par défautDefault domain controller policy Non définieNot defined
Paramètres par défaut du serveur autonomeStand-alone server default settings Non définieNot defined
Paramètres par défaut de contrôleur de domaine efficacesDomain controller effective default settings Non définieNot defined
Paramètres par défaut du serveur membreMember server effective default settings Non définieNot defined
Paramètres par défaut de l’ordinateur clientClient computer effective default settings Non définieNot defined

Gestion des stratégiesPolicy management

Cette section décrit les différentes fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.This section describes different features and tools available to help you manage this policy.

Exigence de redémarrageRestart requirement

Aucune.None. Les modifications apportées à cette stratégie deviennent efficaces sans redémarrage lors de l’enregistrement local ou distribué via une stratégie de groupe.Changes to this policy become effective without a restart when saved locally or distributed through Group Policy.

Stratégie de groupeGroup Policy

Le fait de définir et de déployer cette stratégie à l’aide de la stratégie de groupe est prioritaire sur le paramètre de l’appareil local.Setting and deploying this policy using Group Policy takes precedence over the setting on the local device. Si la stratégie de groupe est définie sur non configuré, les paramètres locaux s’appliquent.If the Group Policy is set to Not Configured, local settings will apply.

AuditAuditing

Affichez le journal des événements opérationnels pour savoir si cette stratégie fonctionne comme prévu.View the operational event log to see if this policy is functioning as intended. Les événements d’audit et de blocage sont enregistrés sur cet ordinateur dans le journal des événements opérationnels dans applications et services Log\Microsoft\Windows\NTLM.Audit and block events are recorded on this computer in the operational event log located in Applications and Services Log\Microsoft\Windows\NTLM.

Il n’existe pas de stratégies d’événements d’audit de sécurité qui peuvent être configurées pour afficher les résultats de cette stratégie.There are no security audit event policies that can be configured to view event output from this policy.

Considérations en matière de sécuritéSecurity considerations

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

L’authentification NTLM et NTLMv2 est vulnérable à diverses attaques malveillantes, y compris la relecture SMB, les attaques par homme-en-milieu et les attaques en force.NTLM and NTLMv2 authentication is vulnerable to a variety of malicious attacks, including SMB replay, man-in-the-middle attacks, and brute force attacks. La réduction ou la suppression de l’authentification NTLM de votre environnement force le système d’exploitation Windows à utiliser des protocoles plus sécurisés, tels que le protocole Kerberos version5 ou différents mécanismes d’authentification, tels que les cartes à puce.Reducing and eliminating NTLM authentication from your environment forces the Windows operating system to use more secure protocols, such as the Kerberos version5 protocol, or different authentication mechanisms, such as smart cards.

VulnérabilitéVulnerability

Les attaques malveillantes sur le trafic d’authentification NTLM qui génèrent un serveur ou contrôleur de domaine compromis peuvent se produire uniquement si le serveur ou le contrôleur de domaine gère les requêtes NTLM.Malicious attacks on NTLM authentication traffic that result in a compromised server or domain controller can occur only if the server or domain controller handles NTLM requests. En cas de refus de ces requêtes, ce vecteur d’attaque est éliminé.If those requests are denied, this attack vector is eliminated.

Contre-mesureCountermeasure

Lorsqu’il a été déterminé que le protocole d’authentification NTLM ne doit pas être utilisé au sein d’un réseau, car vous devez utiliser un protocole plus sécurisé tel que Kerberos, vous pouvez sélectionner l’une des options de limitation de l’utilisation de l’application NTLM aux serveurs.When it has been determined that the NTLM authentication protocol should not be used within a network because you are required to use a more secure protocol such as Kerberos, then you can select from several options to restrict NTLM usage to servers.

Impact possiblePotential impact

Si vous configurez ce paramètre de stratégie pour refuser toutes les demandes, de nombreuses demandes d’authentification NTLM aux serveurs distants peuvent échouer, ce qui peut nuire à la productivité.If you configure this policy setting to deny all requests, numerous NTLM authentication requests to remote servers could fail, which could degrade productivity. Avant d’implémenter cette restriction par le biais de ce paramètre de stratégie, sélectionnez auditer tout pour pouvoir consulter le journal à des fins d’impact potentiel, effectuer une analyse des serveurs et créer une liste d’exceptions de serveurs à exclure de ce paramètre de stratégie à l’aide de l’application sécurité réseau: restreindre l’accès NTLM: ajouter des exceptions de serveur distant pour l’authentification NTLM .Before implementing this restriction through this policy setting, select Audit all so that you can review the log for the potential impact, perform an analysis of servers, and create an exception list of servers to exclude from this policy setting by using Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication .

Rubriques associéesRelated topics