Ako sa zbaviť NTLM

NT LAN Manager (NTLM) bol zavedený so systémom Windows NT a je stále používaný v sieťach, ktoré zahŕňajú klientov pred Windows XP alebo verzie pred Windows 2000 Server. Používa sa aj v sieťach pracovnej skupiny, keď nie je možné dohodnúť autentifikáciu Kerberos. Overovanie NTLM však nie je také bezpečné ako autentifikácia Kerberos, takže ak konfigurujete sieť, ktorá vyžaduje extrémnu bezpečnosť, a obsahujú radiče domény so systémom Windows Server 2008 R2 a klienti používajú systém Windows 7, je Možno budete chcieť obmedziť používanie NTLM .

Budete potrebovať:
  • Radič domény so systémom Windows Server 2008 R2
  • Používateľský účet, ktorý je členom skupiny Domain Administrators
Kroky, ktoré treba dodržiavať:

1

Kliknite na tlačidlo "Štart". Vyberte položku "Nástroje na správu" z ponuky a potom kliknite na ponuku "Správa politiky skupiny" a otvorte "Konzolu na správu zásad skupiny".

2

Rozbaľte uzol pre "Active Directory", za ktorým nasleduje "doména" uzla, uzol domény a "radiče domény". Vyberte možnosť "predvolené radiče domény".

3

Kliknite na "Predvolené radiče domény" a potom z ponuky vyberte možnosť "Upraviť".

4

Rozbaľte "Zásady" uzly v "Konfigurácia počítača." Rozbaľte uzol "Konfigurácia systému Windows" nasledovaný uzlom "Konfigurácia zabezpečenia" a "Lokálne politiky". Vyberte možnosť "Možnosti zabezpečenia".

5

Prejdite do zoznamu konfigurácie politiky a nájdite nastavenie politiky "Sieť zabezpečenia: Obmedzenie overovania NTLM v tejto doméne." Dvakrát kliknite naň a otvorí sa dialógové okno "Nastavenia politiky zabezpečenia".

6

Začiarknite políčko Definovať túto konfiguráciu.

7

Ak chcete zabrániť používateľom domény v overovaní serverov v doméne pomocou protokolu NTLM, vyberte v rozbaľovacom zozname položku Odmietnuť účty domény pre servery domény. Ak chcete zabrániť používateľom používať autentifikáciu NTLM, v rozbaľovacom zozname vyberte možnosť Odmietnuť účet domény. Ak chcete zabrániť používaniu doménových serverov na autentifikáciu NTLM, vyberte možnosť Odmietnuť servery domény. Ak chcete zabrániť akejkoľvek autentifikácii NTLM, vyberte možnosť Odmietnuť.

8

Zmenu potvrďte kliknutím na tlačidlo "Prijať". Budete upozornení, že úprava môže ovplyvniť kompatibilitu so zákazníkmi, službami a aplikáciami. Kliknite na tlačidlo "Áno".

9

Kliknite na tlačidlo "Zatvoriť" v záhlaví okna "Editor politiky skupiny" a potom kliknite na tlačidlo "Zatvoriť" v záhlaví "Konzola na správu politiky skupiny".

tipy
  • Ak sa jeden alebo viac počítačov musí autentifikovať pomocou NTLM, môžete povoliť možnosť nastavenia politiky "Obmedziť NTLM: Pridať výnimky pre server v tejto doméne" a pridať počítač do zoznamu.
  • Ak chcete zistiť, či sa vo vašej sieti používa protokol NTLM, zvážte povolenie "zabezpečenia siete: audit autentifikácie NTLM v tejto doméne" a "Zabezpečenie siete: prichádzajúca kontrola auditu NTLM" pred obmedzením NTLM.
  • Podrobné informácie o jednotlivých nastaveniach politiky nájdete na karte Vysvetlenie v dialógovom okne „Nastavenia politiky“.
  • Vypnutie NTLM môže mať neočakávané výsledky. Monitorujte sieť pred a po deaktivácii NTLM, aby ste vytvorili potrebné výnimky a znížili prestoje.