Πώς να απαλλαγείτε από το NTLM

Το NT LAN Manager (NTLM) εισήχθη με τα Windows NT και εξακολουθεί να χρησιμοποιείται σε δίκτυα που περιλαμβάνουν πελάτες προ-Windows XP ή εκδόσεις πριν από το Windows 2000 Server. Χρησιμοποιείται επίσης σε δίκτυα ομάδας εργασίας, όταν δεν είναι δυνατή η διαπραγμάτευση του ελέγχου ταυτότητας Kerberos. Ωστόσο, ο έλεγχος ταυτότητας NTLM δεν είναι τόσο ασφαλής όσο ο έλεγχος ταυτότητας Kerberos, οπότε αν ρυθμίζετε ένα δίκτυο που απαιτεί εξαιρετική ασφάλεια και περιλαμβάνει ελεγκτές τομέα που εκτελούν Windows Server 2008 R2 και οι υπολογιστές-πελάτες εκτελούν τα Windows 7, είναι Ενδέχεται να θέλετε να περιορίσετε τη χρήση του NTLM .

Θα χρειαστείτε:
  • Ένας ελεγκτής τομέα που εκτελεί τον Windows Server 2008 R2
  • Λογαριασμός χρήστη που είναι μέλος της ομάδας Διαχειριστές τομέα
Βήματα για να ακολουθήσετε:

1

Κάντε κλικ στο κουμπί "Έναρξη". Επιλέξτε το στοιχείο "Εργαλεία διαχείρισης" από το μενού και στη συνέχεια κάντε κλικ στο μενού "Διαχείριση πολιτικής ομάδας" για να ανοίξετε την "Κονσόλα διαχείρισης πολιτικής ομάδας".

2

Αναπτύξτε τον κόμβο για το "Active Directory", ακολουθούμενο από τον "τομέα" του κόμβου, τον κόμβο τομέα και τους "ελεγκτές τομέα". Επιλέξτε την επιλογή "προεπιλεγμένοι ελεγκτές τομέα".

3

Κάντε κλικ στην επιλογή "Προεπιλεγμένοι ελεγκτές τομέα" και, στη συνέχεια, επιλέξτε την επιλογή "Επεξεργασία" από το μενού.

4

Αναπτύξτε τους κόμβους "Πολιτική" στην ενότητα "Ρύθμιση υπολογιστή". Αναπτύξτε τον κόμβο "Ρύθμιση παραθύρων" που ακολουθεί ο κόμβος "Διαμόρφωση ασφάλειας" και ο κόμβος "Τοπικές πολιτικές". Επιλέξτε την επιλογή "Επιλογές ασφαλείας".

5

Μετακινηθείτε στη λίστα ρυθμίσεων πολιτικής για να βρείτε τη ρύθμιση πολιτικής "Δίκτυο ασφαλείας: Περιορίστε τον έλεγχο ταυτότητας NTLM σε αυτόν τον τομέα". Κάντε διπλό κλικ σε αυτό για να ανοίξετε το παράθυρο διαλόγου "Ρυθμίσεις πολιτικής ασφαλείας".

6

Ελέγξτε το πλαίσιο ελέγχου "Ορισμός αυτής της διαμόρφωσης".

7

Επιλέξτε "Απόρριψη λογαριασμών τομέα σε διακομιστές τομέα" από την αναπτυσσόμενη λίστα, εάν θέλετε να εμποδίσετε τους χρήστες τομέα να πιστοποιήσουν διακομιστές στον τομέα χρησιμοποιώντας NTLM. Επιλέξτε "Απόρριψη λογαριασμού τομέα" από την αναπτυσσόμενη λίστα, εάν θέλετε να εμποδίσετε τους χρήστες να χρησιμοποιούν έλεγχο ταυτότητας NTLM. Επιλέξτε "Άρνηση για διακομιστές τομέα", εάν θέλετε να αποφύγετε τη χρήση διακομιστών τομέα για έλεγχο ταυτότητας NTLM. Επιλέξτε "Άρνηση" για να αποφύγετε οποιονδήποτε έλεγχο ταυτότητας NTLM.

8

Κάντε κλικ στο κουμπί "Αποδοχή" για να αποδεχτείτε την αλλαγή. Θα ειδοποιηθείτε ότι η προσαρμογή θα μπορούσε να επηρεάσει τη συμβατότητα με πελάτες, υπηρεσίες και εφαρμογές. Κάντε κλικ στο κουμπί "Ναι".

9

Κάντε κλικ στο κουμπί "Κλείσιμο" στη γραμμή τίτλου του "Editor πολιτικής ομάδας" και, στη συνέχεια, κάντε κλικ στο κουμπί "Κλείσιμο" στη γραμμή τίτλου της "Κονσόλας διαχείρισης πολιτικής ομάδας".

Συμβουλές
  • Εάν ένας ή περισσότεροι υπολογιστές χρειάζονται έλεγχο ταυτότητας χρησιμοποιώντας NTLM, μπορείτε να ενεργοποιήσετε την επιλογή ρύθμισης πολιτικής "Περιορισμός NTLM: Προσθήκη εξαιρέσεων διακομιστή σε αυτόν τον τομέα" και να προσθέσετε τον υπολογιστή στη λίστα.
  • Για να διαπιστώσετε αν χρησιμοποιείται το NTLM στο δίκτυό σας, εξετάστε το ενδεχόμενο να επιτρέψετε "ασφάλεια δικτύου: έλεγχος ελέγχου ταυτότητας NTLM σε αυτόν τον τομέα" και "Ασφάλεια δικτύου: εισερχόμενη κυκλοφορία ελέγχου NTLM" πριν από τον περιορισμό του NTLM.
  • Μπορείτε να βρείτε λεπτομερείς πληροφορίες για κάθε ρύθμιση πολιτικής στην καρτέλα "Επεξήγηση" στο παράθυρο διαλόγου "Ρυθμίσεις πολιτικής".
  • Η απενεργοποίηση του NTLM μπορεί να έχει μη αναμενόμενα αποτελέσματα. Παρακολουθήστε το δίκτυο πριν και μετά την απενεργοποίηση του NTLM για να δημιουργήσετε τις απαραίτητες εξαιρέσεις και να μειώσετε το χρόνο διακοπής.