Kaip atsikratyti NTLM

NT LAN vadybininkas (NTLM) buvo įdiegtas su „Windows NT“ ir vis dar naudojamas tinkluose, kuriuose yra „Windows XP“ klientai arba versijos prieš „Windows 2000 Server“. Jis taip pat naudojamas darbo grupių tinkluose, kai negalima derėtis dėl „Kerberos“ autentifikavimo. Tačiau NTLM autentifikavimas nėra toks saugus kaip „Kerberos“ autentifikavimas, todėl, jei konfigūruojate tinklą, kuriam reikalingas ypatingas saugumas, ir įtraukiant domeno valdiklius, kuriuose veikia „Windows Server 2008 R2“, ir klientai naudoja „Windows 7“, tai yra Galbūt norėsite apriboti NTLM naudojimą .

Jums reikės:
  • Domeno valdiklis, kuriame veikia „Windows Server 2008 R2“
  • Vartotojo paskyra, kuri yra „Domeno administratorių“ grupės narė
Veiksmai, kurių reikia laikytis:

1

Spustelėkite mygtuką „Pradėti“. Meniu pasirinkite elementą „Administravimo įrankiai“ ir spustelėkite meniu „Grupės politikos valdymas“, kad atidarytumėte „Grupės politikos valdymo konsolę“.

2

Išplėskite „Active Directory“ mazgų, po to - mazgo, domeno mazgo ir „domeno valdiklių“ „domeną“. Pasirinkite parinktį „Numatytasis domeno valdiklis“.

3

Spustelėkite „Numatytieji domeno valdikliai“ ir tada meniu „Redaguoti“.

4

Išplėskite „Politikos“ mazgus „Kompiuterio konfigūracija“. Išplėskite „Windows“ konfigūracijos mazgų, po kurio yra „Saugumo konfigūracija“ ir „Vietinės politikos“ mazgas. Pasirinkite parinktį „Saugumo parinktys“.

5

Pažymėkite politikos konfigūracijos sąrašą, kad surastumėte politikos nuostatą „Saugumo tinklas: apribokite NTLM autentifikavimą šiame domene“. Dukart spustelėkite jį, kad atidarytumėte dialogo langą „Saugumo politikos nustatymai“.

6

Pažymėkite žymės langelį „Nustatyti šią konfigūraciją“.

7

Išskleidžiamajame sąraše pasirinkite „Neleisti domeno serverių prie domeno serverių“, jei norite užkirsti kelią domeno naudotojams autentifikuoti domeno serverius naudojant NTLM. Jei norite neleisti vartotojams naudotis NTLM autentifikavimu, išskleidžiamajame sąraše pasirinkite „Deny domeno paskyrai“. Jei norite išvengti NTLM autentifikavimui domeno serverių naudojimo, pasirinkite „Deny domeno serveriams“. Jei norite išvengti NTLM autentifikavimo, pasirinkite „Deny“.

8

Spustelėkite mygtuką „Priimti“, kad priimtumėte pakeitimą. Jums bus įspėta, kad koregavimas gali turėti įtakos suderinamumui su klientais, paslaugomis ir programomis. Spustelėkite mygtuką „Taip“.

9

Spustelėkite mygtuką „Uždaryti“ „Grupės strategijos redaktoriaus“ pavadinimo juostoje, tada spustelėkite mygtuką „Uždaryti“ „Grupės politikos valdymo konsolės“ pavadinimo juostoje.

Patarimai
  • Jei vienas ar daugiau kompiuterių turi autentifikuoti naudojant NTLM, galite įjungti politikos nustatymo parinktį „Apriboti NTLM: pridėti serverio išimtis šiame domene“ ir pridėti kompiuterį prie sąrašo.
  • Norėdami sužinoti, ar NTLM yra naudojamas jūsų tinkle, prieš NTLM apribojimą apsvarstykite galimybę leisti „tinklo saugumą: NTLM autentifikavimo auditą šiame domene“ ir „Tinklo saugumas: gaunamas NTLM audito srautas“.
  • Išsamesnės informacijos apie kiekvieną politikos nuostatą rasite dialogo lango „Politikos nustatymai“ skirtuke „Paaiškinti“.
  • NTLM išjungimas gali turėti netikėtų rezultatų. Stebėkite tinklą prieš ir po to, kai išjungiate NTLM, kad sukurtumėte būtinas išimtis ir sumažintumėte prastovos laiką.