网络安全: 限制 NTLM: 添加此域中的服务器例外
介绍了有关“网络安全: 限制 NTLM: 添加此域中的服务器例外”安全策略设置的最佳做法、位置、值、管理方面和安全注意事项。
参考
“网络安全: 限制 NTLM: 添加此域中的服务器例外”****策略设置可让你在此域中创建服务器的例外列表,允许客户端设备在任何拒绝选项均在“网络安全: 限制 NTLM: 此域中的 NTLM 身份验证”策略设置下设置时对这些服务器使用 NTLM 传递身份验证。
如果配置此策略设置,可以在此域中定义允许客户端设备对其使用 NTLM 身份验证的服务器列表。
如果未配置此策略设置,将不会应用任何例外,并且如果启用“网络安全: 限制 NTLM: 此域中的 NTLM 身份验证”,域中的所有 NTLM 身份验证尝试都将失败。
每行列出一个作为命名格式的 NetBIOS 服务器名称。单个星号 (*) 可在字符串的任何位置用作通配符。
可能值
用户定义的服务器列表
在此域中输入允许客户端对其使用 NTLM 身份验证的服务器列表时,即定义并启用了策略。
未定义
如果未通过定义服务器列表配置此策略,该策略将处于未定义状态,并且不会应用任何例外。
最佳做法
首先强制执行“网络安全: 限制 NTLM: 审核此域中的 NTLM 身份验证”****策略设置,然后查看运行事件日志以了解这些身份验证尝试中涉及哪些域控制器,以便决定要免除哪些服务器。
设置服务器例外列表后,强制执行“网络安全: 限制 NTLM: 审核此域中的 NTLM 身份验证”,然后再次查看运行事件日志,随后设置阻止 NTLM 通信的策略。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
未定义 |
默认域控制器策略 |
未定义 |
独立服务器默认设置 |
未定义 |
域控制器有效默认设置 |
未定义 |
成员服务器有效默认设置 |
未定义 |
客户端计算机有效默认设置 |
未定义 |
策略管理
本部分介绍可用于帮助你管理此策略的不同功能和工具。
重启要求
无。当以本地方式保存或通过组策略分配对本策略的更改时,无需重启即可使这些更改生效。
组策略
通过组策略设置和部署此策略优先于本地设备上的设置。如果将组策略设置为“未配置”****,将应用本地设置。
审核
请查看运行事件日志以查看服务器例外列表是否按预期方式正常工作。审核和阻止事件记录在此计算机上位于“应用程序和服务日志\Microsoft\Windows\NTLM”的运行事件日志中。
没有任何安全审核策略可以配置为查看此策略的输出。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
在因为要求使用更安全的协议(例如 Kerberos)而确定不应在域中使用 NTLM 身份验证协议时,域中可能还存在一些 NTLM 身份验证通信。如果是这样,并且“网络安全: 限制 NTLM: 此域中的 NTLM 身份验证”已设置为任意拒绝选项,任何 NTLM 身份验证请求都将失败,因为传递成员服务器将阻止 NTLM 请求。
如果定义在此域中允许客户端计算机对其使用 NTLM 传递身份验证的服务器例外列表,则 NTLM 身份验证通信将继续在这些服务器之间传输,而这会使它们容易遭受利用 NTLM 安全漏洞的任何恶意攻击。
对策
在仅审核模式下使用“网络安全: 限制 NTLM: 此域中的 NTLM 身份验证”****时,可以通过查看哪些客户端应用程序在向传递身份验证服务器提出 NTLM 身份验证请求来确定。访问时,必须逐个确定 NTLM 身份验证是否仍然满足最低安全要求。
潜在影响
定义此策略设置的服务器列表将在那些可能导致安全漏洞的服务器之间启用 NTLM 身份验证通信。
如果未定义此列表,并且启用“网络安全: 限制 NTLM: 此域中的 NTLM 身份验证”,则 NTLM 身份验证将在它们之前使用过的域中的传递服务器上失败。