Jak se zbavit NTLM

NT LAN Manager (NTLM) byl zaveden s Windows NT a je stále používán v sítích, které zahrnují klienty před Windows XP nebo verze před Windows 2000 Server. Používá se také v sítích pracovní skupiny, pokud nelze vyjednat ověřování pomocí protokolu Kerberos. Ověřování NTLM však není tak bezpečné jako ověřování pomocí protokolu Kerberos, takže pokud konfigurujete síť, která vyžaduje extrémní zabezpečení, a zahrnují řadiče domény se systémem Windows Server 2008 R2 a klienti se systémem Windows 7, je Možná budete chtít omezit použití NTLM .

Budete potřebovat:
  • Řadič domény se systémem Windows Server 2008 R2
  • Uživatelský účet, který je členem skupiny Domain Administrators
Postup, jak postupovat:

1

Klikněte na tlačítko "Start". Vyberte položku "Nástroje pro správu" z nabídky a klepněte na nabídku "Správa zásad skupiny" otevřete "Konzola pro správu zásad skupiny".

2

Rozbalte uzel "Active Directory", následovaný "doménou" uzlu, uzlem domény a "řadiči domény". Vyberte možnost "výchozí řadiče domény".

3

Klepněte na tlačítko "Výchozí řadiče domény" a potom vyberte možnost "Upravit" z nabídky.

4

Rozbalte uzly "Zásady" v "Konfigurace počítače." Rozbalte uzel "Konfigurace systému Windows" následovaný uzlem "Konfigurace zabezpečení" a uzel "Místní zásady". Vyberte možnost "Možnosti zabezpečení".

5

Posouváním seznamu konfigurací zásad vyhledejte nastavení zásad "Síť zabezpečení: Omezte ověřování NTLM v této doméně." Poklepáním na něj otevřete dialogové okno "Nastavení zásad zabezpečení".

6

Zaškrtněte políčko „Definovat tuto konfiguraci“.

7

Pokud chcete uživatelům domény zabránit ověřovat servery v doméně pomocí NTLM, vyberte v rozevíracím seznamu možnost Odepřít účty domény doménovým serverům. Pokud chcete zabránit uživatelům v používání ověřování NTLM, vyberte v rozevíracím seznamu možnost Odepřít pro účet domény. Chcete-li se vyhnout použití doménových serverů pro ověřování NTLM, vyberte možnost Odepřít pro servery domény. Chcete-li se vyhnout ověřování NTLM, vyberte možnost Odepřít.

8

Změnu potvrďte kliknutím na tlačítko "Přijmout". Budete upozorněni, že úprava může ovlivnit kompatibilitu se zákazníky, službami a aplikacemi. Klikněte na tlačítko "Ano".

9

Klepněte na tlačítko "Zavřít" v záhlaví "Editor zásad skupiny" a potom klepněte na tlačítko "Zavřít" v záhlaví "Konzola pro správu zásad skupiny".

Tipy
  • Pokud jeden nebo více počítačů musí ověřit pomocí protokolu NTLM, můžete povolit možnost nastavení zásad "Omezit NTLM: Přidat výjimky serveru v této doméně" a přidat počítač do seznamu.
  • Chcete-li zjistit, zda je ve vaší síti používán protokol NTLM, zvažte před povolením NTLM povolit "zabezpečení sítě: audit ověřování NTLM v této doméně" a "Zabezpečení sítě: příchozí audit auditu NTLM".
  • Podrobné informace o každém nastavení zásad naleznete na kartě "Vysvětlení" v dialogovém okně "Nastavení zásad".
  • Zakázání NTLM může mít neočekávané výsledky. Sledujte síť před a po deaktivaci NTLM a vytvořte nezbytné výjimky a omezte prostoje.