網路安全性: 限制 NTLM: 送往遠端伺服器的連出 NTLM 流量

適用對象

  • Windows 10

說明網路安全性的最佳作法、位置、值、管理層面和安全性考慮:限制 NTLM:外發 NTLM 流量至遠端伺服器 安全性原則設定。

參考

網路安全性:限制 NTLM:外發 NTLM流量至遠端伺服器策略設定可讓您從執行 Windows 7、Windows Server 2008 或更新版本的電腦,拒絕或稽核執行 Windows 作業系統的任何遠端伺服器外發 NTLM 流量。

警告: 修改此策略設定可能會影響用戶端電腦、服務和應用程式的相容性。

可能值

  • 全部允許

    裝置可以使用 NTLM 驗證驗證身分,以驗證遠端伺服器身分,因為沒有任何限制。

  • 全部稽核

    傳送 NTLM 驗證要求至遠端伺服器的裝置會記錄每個要求的事件。 這可讓您識別從用戶端裝置接收 NTLM 驗證要求的伺服器

  • 全部拒絕

    裝置無法使用 NTLM 驗證,驗證遠端伺服器的任何身分。 您可以使用網路安全性:限制 NTLM:為 NTLM 驗證策略設定新增遠端伺服器例外,以定義允許用戶端裝置使用 NTLM 驗證的遠端伺服器清單,同時拒絕其他人。 此設定也會在提出驗證要求的裝置上記錄事件。

  • 未定義

    這和允許所有相同 ,且裝置在部署策略時會允許所有 NTLM 驗證要求。

最佳做法

如果您選取 All Deny, 用戶端裝置就無法使用 NTLM 驗證驗證身分驗證至遠端伺服器。 首先, 選取全部稽核 ,然後檢查操作事件記錄,以瞭解哪些伺服器參與這些驗證嘗試。 接著,您可以使用網路安全性:限制 NTLM:為 NTLM 驗證策略設定新增遠端伺服器例外情形,將那些伺服器名稱新增到伺服器例外清單。

位置

電腦群組Windows 設定\安全性設定\Local Policies\Security 選項

預設值

伺服器類型或 GPO 預設值
預設網域策略 未定義
預設網域控制站策略 未定義
獨立伺服器預設設定 未定義
網域控制站的有效預設設定 未定義
成員伺服器有效預設設定 未定義
用戶端電腦的有效預設設定 未定義

群組原則管理

本節說明可協助您管理此政策的不同功能和工具。

重新啟動需求

無。 此策略的變更在儲存至本地或透過群組原則發佈時,不會重新開機而生效。

群組原則

使用群組原則設定及部署此策略優先于本地裝置上的設定。 如果群組原則設定為未 設定, 將會套用本地設定。

審計

查看操作事件記錄,查看此策略是否如預期運作。 稽核和封鎖事件會記錄在此電腦上位於應用程式與服務記錄**\\Microsoft\Windows\NTLM 的操作事件記錄中**。

沒有任何安全性稽核事件策略可以針對此策略來查看事件輸出進行配置。

安全性考量

本節說明攻擊者如何惡意探索功能或其設定、如何實作因應對策,以及實作因應對策可能的負面後果。

NTLM 和 NTLMv2 驗證容易受到各種惡意攻擊,包括 SMB 重播、中層攻擊,以及暴力攻擊。 減少和消除您環境中的 NTLM 驗證會強制 Windows 作業系統使用更安全的通訊協定,例如 Kerberos 版本 5 通訊協定,或不同的驗證機制 ,例如智慧卡。

弱點

只有在伺服器或網域控制站處理 NTLM 要求時,才能對 NTLM 驗證流量進行惡意攻擊,導致伺服器或網域控制站遭到入侵。 如果這些要求遭到拒絕,則此攻擊向量會遭到排除。

因應對策

當您因為需要使用更安全的通訊協定 ,例如 Kerberos 而決定不應在網路中使用 NTLM 驗證通訊協定時,您可以選取多個選項,將 NTLM 使用量限制為伺服器。

可能的影響

如果您設定此策略設定以拒絕所有要求,則許多遠端伺服器的 NTLM 驗證要求可能會失敗,這會降低生產力。 在透過此策略設定執行此限制之前,請**** 選取全部稽核,以便您可以檢查記錄的潛在影響、執行伺服器分析,以及使用網路安全性:限制 NTLM:新增 NTLM驗證的遠端伺服器例外情形,以建立排除此策略設定的伺服器例外清單。

相關主題