網路安全性: 限制 NTLM: 新增 NTLM 驗證的遠端伺服器例外

適用對象

  • Windows 10

說明網路安全性的最佳作法、位置、值、管理層面和安全性考慮 :限制 NTLM:新增 NTLM 驗證安全性原則設定的遠端伺服器例外情形。

參考

網路安全性:限制 NTLM:新增 NTLM 驗證策略的遠端伺服器例外設定可讓您建立遠端伺服器的例外清單,如果已設定網路安全性:限制 NTLM: 遠端伺服器策略設定外發 NTLM 流量,則允許用戶端裝置使用 NTLM 驗證。

如果您設定此策略設定,您可以定義允許用戶端裝置使用 NTLM 驗證的遠端伺服器清單。

如果您未設定此原則設定,將不會適用例外,如果網路安全性:限制 NTLM: 已啟用外發 NTLM 流量至遠端伺服器,則用戶端裝置中的 NTLM 驗證嘗試將會失敗。

列出應用程式用來做為命名格式的 NetBIOS 伺服器名稱,每行一個。 為了確保例外,所有應用程式使用的名稱必須列于清單中。 單一星號 (*) 字串中的任何位置都可以做為萬用字元。

可能值

  • 使用者定義的遠端伺服器清單

    當您輸入允許用戶端使用 NTLM 驗證的遠端伺服器清單時,系統會定義並啟用該策略。

  • 未定義

    如果您沒有定義伺服器清單來設定此原則設定,則原則會未定義,而且不會適用例外。

最佳做法

  1. 首先強制執行網路安全性:限制 NTLM:稽核傳入的 NTLM 流量或網路安全性:限制 NTLM: 在此網域策略設定中稽核 NTLM 驗證,然後檢閱操作事件記錄,以瞭解哪些伺服器參與這些驗證嘗試,因此您可以決定要免除哪些伺服器。

  2. 設定伺服器例外清單之後,請強制執行網路安全性:限制 NTLM:稽核傳入的 NTLM 流量或 網路安全性:限制 NTLM: 在此網域策略設定中稽核 NTLM 驗證,然後再次檢查操作事件記錄,然後再設定封鎖 NTLM 流量的策略。

位置

電腦群組Windows 設定\安全性設定\Local Policies\Security 選項

預設值

伺服器類型或 GPO 預設值
預設網域策略 未定義
預設網域控制站策略 未定義
獨立伺服器預設設定 未定義
網域控制站的有效預設設定 未定義
成員伺服器有效預設設定 未定義
用戶端電腦的有效預設設定 未定義

群組原則管理

本節說明可協助您管理此政策的功能和工具。

重新啟動需求

無。 當裝置在本地儲存或透過群組原則發佈時,此策略的變更就會生效。

群組原則

透過群組原則設定及部署此策略會優先于本地裝置上的設定。 如果群組原則設定設定為未 設定, 將會套用本地設定。

審計

查看操作事件記錄,查看您的伺服器例外清單是否如預期運作。 稽核和封鎖事件會記錄在此裝置上的應用程式與服務記錄中的操作事件記錄**\Microsoft\Windows\NTLM**中。

沒有任何安全性稽核政策可針對此策略的顯示結果進行配置。

安全性考量

本節說明攻擊者如何惡意探索功能或其設定、如何實作因應對策,以及實作因應對策可能的負面後果。

弱點

當確定不應從用戶端裝置使用 NTLM 驗證通訊協定至任何遠端伺服器,因為您必須使用更安全的通訊協定 ,例如 Kerberos 時,可能仍有部分用戶端應用程式仍在使用 NTLM。 如果是這樣,而且您設定了網路安全性:限制 NTLM:將遠端伺服器的外發 NTLM 流量設為任何拒絕選項,這些應用程式將會失敗,因為來自用戶端電腦的外發 NTLM 驗證流量會封鎖。

如果您定義允許用戶端裝置使用 NTLM 驗證的伺服器例外清單,則 NTLM 驗證流量會繼續在這些用戶端應用程式和伺服器之間流動。 伺服器會容易受到利用 NTLM 中安全性弱點的任何惡意攻擊。

因應對策

當您使用網路安全性:限制 NTLM: 以僅稽核模式將外發 NTLM 流量用於遠端伺服器時,您可以檢查哪些用戶端應用程式會向環境中遠端伺服器提出 NTLM 驗證要求,以判斷。 評估時,您必須根據個案判斷 NTLM 驗證是否仍基本符合您的安全性需求。 如果沒有,用戶端應用程式必須升級,以使用 NTLM 驗證外的其他專案。

可能的影響

定義此策略設定的伺服器清單,會啟用使用這些伺服器的用戶端應用程式的 NTLM 驗證流量,這可能會導致安全性漏洞。

如果未定義此清單,且網路安全性 :限制 NTLM: 已啟用遠端伺服器的外發 NTLM 流量,則使用 NTLM 的用戶端應用程式將無法向先前使用的伺服器進行驗證。

相關主題