Sécurité réseau: restreindre NTLM: trafic NTLM sortant vers des serveurs distants

S’applique à

  • Windows 10

Décrit les meilleures pratiques, l’emplacement, les valeurs, les aspects de gestion et les considérations de sécurité pour la sécurité du réseau : restreindre NTLM : trafic NTLM sortant vers le paramètre de stratégie de sécurité des serveurs distants.

Référence

Sécurité réseau : restreindre NTLM : le trafic NTLM sortant vers les serveurs distants vous permet de refuser ou d’auditer le trafic NTLM sortant à partir d’un ordinateur exécutant Windows 7, Windows Server 2008 ou ultérieur vers un serveur distant exécutant le système d’exploitation Windows.

Avertissement : La modification de ce paramètre de stratégie peut affecter la compatibilité avec les ordinateurs clients, les services et les applications.

Valeurs possibles

  • Autoriser tout

    L’appareil peut authentifier les identités sur un serveur distant à l’aide de l’authentification NTLM, car il n’existe aucune restriction.

  • Auditer tout

    L’appareil qui envoie la demande d’authentification NTLM à un serveur distant enregistre un événement pour chaque demande. Cela vous permet d’identifier les serveurs qui reçoivent des demandes d’authentification NTLM à partir de l’appareil client.

  • Refuser tout

    L’appareil ne peut authentifier aucune identité sur un serveur distant à l’aide de l’authentification NTLM. Vous pouvez utiliser la sécurité réseau : restreindre NTLM : ajouter des exceptions de serveur distant pour le paramètre de stratégie d’authentification NTLM pour définir une liste des serveurs distants sur lesquels les appareils clients sont autorisés à utiliser l’authentification NTLM tout en refusant d’autres. Ce paramètre enregistre également un événement sur l’appareil qui fait la demande d’authentification.

  • Non définie

    Ceci est identique à Autoriser toutet l’appareil autorise toutes les demandes d’authentification NTLM lors du déploiement de la stratégie.

Meilleures pratiques

Si vous sélectionnez Refuser tout, l’appareil client ne peut pas authentifier les identités sur un serveur distant à l’aide de l’authentification NTLM. Tout d’abord, sélectionnez Auditer tout, puis examinez le journal des événements opérationnels pour comprendre quels serveurs sont impliqués dans ces tentatives d’authentification. Vous pouvez ensuite ajouter ces noms de serveur à une liste d’exceptions de serveur à l’aide de la sécurité réseau : Restreindre NTLM : ajouter des exceptions de serveur distant pour le paramètre de stratégie d’authentification NTLM.

Localisation

Configuration de l’ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Valeurs par défaut

Type de serveur ou GPO Valeur par défaut
Stratégie de domaine par défaut Non définie
Stratégie de contrôleur de domaine par défaut Non définie
Paramètres par défaut du serveur autonome Non définie
Paramètres par défaut effectifs du contrôleur de domaine Non définie
Paramètres par défaut effectifs du serveur membre Non définie
Paramètres par défaut effectifs de l’ordinateur client Non définie

Gestion des stratégies

Cette section décrit les différentes fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.

Exigence de redémarrage

Aucune. Les modifications apportées à cette stratégie deviennent effectives sans redémarrage lorsqu’elles sont enregistrées localement ou distribuées via la stratégie de groupe.

Stratégie de groupe

La définition et le déploiement de cette stratégie à l’aide de la stratégie de groupe prévalent sur le paramètre sur l’appareil local. Si la stratégie de groupe est définie sur Non configuré, les paramètres locaux s’appliquent.

Audit

Affichez le journal des événements opérationnels pour voir si cette stratégie fonctionne comme prévu. Les événements d’audit et de blocage sont enregistrés sur cet ordinateur dans le journal des événements opérationnels situé dans le journal des applications et des services\Microsoft\Windows\NTLM.

Aucune stratégie d’événement d’audit de sécurité ne peut être configurée pour afficher la sortie des événements de cette stratégie.

Considérations en matière de sécurité

Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.

L’authentification NTLM et NTLMv2 est vulnérable à diverses attaques malveillantes, notamment la relecture SMB, les attaques de l’intermédiaire et les attaques par force brute. La réduction et l’élimination de l’authentification NTLM de votre environnement forcent le système d’exploitation Windows à utiliser des protocoles plus sécurisés, tels que le protocole Kerberos version 5, ou différents mécanismes d’authentification, tels que les cartes à puce.

Vulnérabilité

Les attaques malveillantes sur le trafic d’authentification NTLM qui entraînent la compromissance d’un serveur ou d’un contrôleur de domaine ne peuvent se produire que si le serveur ou le contrôleur de domaine gère les demandes NTLM. Si ces demandes sont refusées, ce vecteur d’attaque est éliminé.

Contre-mesure

Lorsqu’il a été déterminé que le protocole d’authentification NTLM ne doit pas être utilisé au sein d’un réseau, car vous devez utiliser un protocole plus sécurisé tel que Kerberos, vous pouvez choisir parmi plusieurs options pour limiter l’utilisation de NTLM aux serveurs.

Impact possible

Si vous configurez ce paramètre de stratégie pour refuser toutes les demandes, de nombreuses demandes d’authentification NTLM à des serveurs distants pourraient échouer, ce qui pourrait dégrader la productivité. Avant d’implémenter cette restriction via ce paramètre de stratégie, sélectionnez Auditer tout afin de pouvoir vérifier l’impact potentiel dans le journal, effectuer une analyse des serveurs et créer une liste d’exceptions de serveurs à exclure de ce paramètre de stratégie à l’aide de la sécurité réseau : restreindre NTLM : ajouter des exceptions de serveur distant pour l’authentification NTLM.

Rubriques associées