Sicurezza di rete: limitazione di NTLM: traffico NTLM in uscita verso server remoti

Si applica a

  • Windows 10

Vengono descritte le procedure consigliate, la posizione, i valori, gli aspetti di gestione e le considerazioni sulla sicurezza per l'impostazione dei criteri di sicurezza Sicurezza di rete: Limitare NTLM: Traffico NTLM in uscita ai server remoti .

Nota

Per altre informazioni sulla configurazione di un server a cui accedere in remoto, vedere Desktop remoto - Consenti l'accesso al PC.

Riferimento

L'impostazione dei criteri Sicurezza di rete: Limita NTLM: traffico NTLM in uscita ai server remoti consente di negare o controllare il traffico NTLM in uscita da un computer che esegue Windows 7, Windows Server 2008 o versioni successive a qualsiasi server remoto che esegue il sistema operativo Windows.

Avviso: La modifica di questa impostazione di criterio può influire sulla compatibilità con computer client, servizi e applicazioni.

Valori possibili

  • Consenti tutto

    Il dispositivo può autenticare le identità in un server remoto usando l'autenticazione NTLM perché non esistono restrizioni.

  • Controlla tutto

    Il dispositivo che invia la richiesta di autenticazione NTLM a un server remoto registra un evento per ogni richiesta. Questo evento consente di identificare i server che ricevono richieste di autenticazione NTLM dal dispositivo client.

  • Nega tutto

    Il dispositivo non può autenticare identità in un server remoto usando l'autenticazione NTLM. È possibile usare l'impostazione dei criteri Sicurezza di rete: Limita NTLM: Aggiungere eccezioni al server remoto per i criteri di autenticazione NTLM per definire un elenco di server remoti ai quali i dispositivi client possono usare l'autenticazione NTLM negando al tempo stesso ad altri utenti. Questa impostazione registrerà anche un evento nel dispositivo che effettua la richiesta di autenticazione.

  • Non definito

    Questo stato di non definizione è identico a Consenti tutto e il dispositivo consentirà tutte le richieste di autenticazione NTLM quando i criteri vengono distribuiti.

Procedure consigliate

Se si seleziona Nega tutto, il dispositivo client non può autenticare le identità in un server remoto usando l'autenticazione NTLM. Prima di tutto, selezionare Controlla tutto e quindi esaminare il registro eventi operativo per comprendere quali server sono coinvolti in questi tentativi di autenticazione. È quindi possibile aggiungere tali nomi di server a un elenco di eccezioni del server usando l'impostazione Sicurezza di rete: Limita NTLM: Aggiungere eccezioni al server remoto per i criteri di autenticazione NTLM .

Posizione

Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza\Criteri locali\Opzioni di sicurezza

Valori predefiniti

Tipo di server o oggetto Criteri di gruppo Valore predefinito
Criteri di dominio predefiniti Non definito
Criteri del controller di dominio predefiniti Non definito
Impostazioni predefinite del server autonomo Non definito
Impostazioni predefinite valide per il controller di dominio Non definito
Impostazioni predefinite valide per il server membro Non definito
Impostazioni predefinite valide per il computer client Non definito

Gestione dei criteri

Questa sezione descrive le diverse funzionalità e strumenti disponibili per gestire questo criterio.

Richiesta di riavvio

Nessuna. Le modifiche a questo criterio diventano effettive senza un riavvio quando vengono salvate in locale o distribuite tramite Criteri di gruppo.

Criteri di gruppo

L'impostazione e la distribuzione di questo criterio tramite Criteri di gruppo hanno la precedenza sull'impostazione nel dispositivo locale. Se il Criteri di gruppo è impostato su Non configurato, verranno applicate le impostazioni locali.

Controllo

Visualizzare il registro eventi operativo per verificare se questo criterio funziona come previsto. Gli eventi di controllo e blocco vengono registrati in questo computer nel registro eventi operativo che si trova in Registro applicazioni e servizi\Microsoft\Windows\NTLM.

Non sono disponibili criteri di evento di controllo di sicurezza che possono essere configurati per visualizzare l'output degli eventi da questo criterio.

Considerazioni sulla sicurezza

Questa sezione descrive come un autore di un attacco può approfittare di una funzionalità o di una configurazione, come implementare contromisure e le possibili conseguenze negative dell'implementazione di contromisure.

L'autenticazione NTLM e NTLMv2 è vulnerabile a vari attacchi dannosi, tra cui riesecuzione SMB, attacchi man-in-the-middle e attacchi di forza bruta. La riduzione e l'eliminazione dell'autenticazione NTLM dall'ambiente impone al sistema operativo Windows di usare protocolli più sicuri, ad esempio il protocollo Kerberos versione 5 o meccanismi di autenticazione diversi, ad esempio le smart card.

Vulnerabilità

Gli attacchi dannosi al traffico di autenticazione NTLM che comportano un server o un controller di dominio compromessi possono verificarsi solo se il server o il controller di dominio gestisce le richieste NTLM. Se tali richieste vengono negate, questo vettore di attacco viene eliminato.

Contromisura

Quando è stato stabilito che il protocollo di autenticazione NTLM non deve essere usato all'interno di una rete perché è necessario usare un protocollo più sicuro, ad esempio Kerberos, è possibile scegliere tra diverse opzioni per limitare l'utilizzo NTLM ai server.

Impatto potenziale

Se si configura questa impostazione di criterio per negare tutte le richieste, numerose richieste di autenticazione NTLM ai server remoti potrebbero non riuscire, il che potrebbe ridurre la produttività. Prima di implementare questa restrizione tramite questa impostazione di criterio, selezionare Controlla tutto in modo che sia possibile esaminare il log per verificare il potenziale impatto, eseguire un'analisi dei server e creare un elenco di eccezioni di server da escludere da questa impostazione di criteri usando Sicurezza di rete: Limita NTLM: Aggiungere eccezioni al server remoto per l'autenticazione NTLM .

Argomenti correlati