网络安全: 限制 NTLM: 为 NTLM 身份验证添加远程服务器例外
介绍了有关“网络安全: 限制 NTLM: 为 NTLM 身份验证添加远程服务器例外”安全策略设置的最佳做法、位置、值、管理方面和安全注意事项。
参考
“网络安全: 限制 NTLM: 为 NTLM 身份验证添加远程服务器例外”****策略设置可让你创建远程服务器的例外列表,以便允许客户端设备在配置“网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量”策略设置的情况下,使用 NTLM 身份验证。
如果配置此策略设置,可以定义允许客户端设备对其使用 NTLM 身份验证的远程服务器列表。
如果未配置此策略设置,将不会应用任何例外,并且如果启用“网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量”,客户端设备的 NTLM 身份验证尝试将失败。
每行列出一个应用程序用作命名格式的 NetBIOS 服务器名称。若要确保例外,所有应用程序使用的名称都需要出现在列表中。单个星号 (*) 可在字符串的任何位置用作通配符。
可能值
用户定义的远程服务器列表
在输入允许客户端对其使用 NTLM 身份验证的远程服务器列表时,即定义并启用了策略。
未定义
如果未通过定义服务器列表配置此策略,该策略将处于未定义状态,并且不会应用任何例外。
最佳做法
首先强制执行“网络安全: 限制 NTLM: 审核传入 NTLM 流量”或“网络安全: 限制 NTLM: 审核此域中的 NTLM 身份验证”策略设置,然后查看运行事件日志以了解这些身份验证尝试中涉及哪些服务器,以便决定要免除哪些服务器。
设置服务器例外列表后,强制执行“网络安全: 限制 NTLM: 审核传入 NTLM 流量”或“网络安全: 限制 NTLM: 审核此域中的 NTLM 身份验证”策略设置,然后再次查看运行事件日志,随后设置阻止 NTLM 通信的策略。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
未定义 |
域控制器有效默认设置 |
未定义 |
成员服务器有效默认设置 |
未定义 |
客户端计算机有效默认设置 |
未定义 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重新启动设备即可使这些更改生效。
组策略
通过组策略设置和部署此策略优先于本地设备上的设置。如果组策略设置设为“未配置”,将应用本地设置。
审核
请查看运行事件日志以查看服务器例外列表是否按预期方式正常工作。审核和阻止事件记录在此设备上位于“应用程序和服务日志\Microsoft\Windows\NTLM”****的运行事件日志中。
没有任何安全审核策略可以配置为查看此策略的输出。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
在因为要求使用更安全的协议(例如 Kerberos)而确定不应从客户端设备将 NTLM 身份验证协议用于任何远程服务器时,可能有些客户端应用程序仍在使用 NTLM。如果是这样,并且“网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量”已设置为任意拒绝选项,这些应用程序将失败,因为客户端计算机的出站 NTLM 身份验证通信会受到阻止。
如果定义允许客户端设备对其使用 NTLM 身份验证的服务器例外列表,NTLM 身份验证通信将继续在这些客户端应用程序和服务器之间传输。而服务器则容易遭受任何利用 NTLM 安全漏洞的恶意攻击。
对策
在仅审核模式下使用“网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量”时,可以通过查看哪些客户端应用程序在环境中向远程服务器提出 NTLM 身份验证请求来确定。访问时,必须逐个确定 NTLM 身份验证是否仍然满足最低安全要求。如果没有,客户端应用程序必须升级为使用 NTLM 身份验证之外的身份验证方式。
潜在影响
定义此策略设置的服务器列表可以从使用这些服务器的客户端应用程序启用 NTLM 身份验证通信,并且这可能导致安全漏洞。
如果未定义此列表,并且启用了“网络安全: 限制 NTLM: 到远程服务器的传出 NTLM 流量”,则使用 NTLM 的客户端应用程序将无法对它们以前使用的那些服务器进行身份验证。