Kako se riješiti NTLM-a

NT LAN Manager (NTLM) uveden je sa sustavom Windows NT i još uvijek se koristi u mrežama koje uključuju klijente prije sustava Windows XP ili verzije prije sustava Windows 2000 Server. Također se koristi u mrežama radnih grupa kada Kerberos provjera autentičnosti ne može biti dogovorena. Međutim, NTLM provjera autentičnosti nije tako sigurna kao Kerberos provjera autentičnosti, tako da ako konfigurirate mrežu koja zahtijeva ekstremnu sigurnost i uključite kontrolere domena koji rade pod Windows Server 2008 R2, a klijenti imaju Windows 7, to je Možda želite ograničiti upotrebu NTLM-a .

Trebat će vam:
  • Kontroler domene koji pokreće Windows Server 2008 R2
  • Korisnički račun koji je član grupe Administratori domene
Sljedeći koraci:

1

Kliknite gumb "Start". Na izborniku odaberite stavku "Administrativni alati", a zatim na izborniku "Upravljanje grupnim pravilima" otvorite "Konzola upravljanja grupnim pravilima".

2

Proširite čvor za "Active Directory", nakon čega slijedi "domena" čvora, čvor domene i "kontroleri domene". Odaberite opciju "zadani kontroleri domene".

3

Kliknite na "Zadani kontroleri domene", a zatim u izborniku odaberite opciju "Uredi".

4

Proširite čvorišta "Pravila" u "Konfiguracija računala". Proširite čvor "Windows Configuration" (Konfiguracija sustava Windows) nakon kojeg slijedi "Security Configuration" (Konfiguracija sigurnosti) i čvor "Local Policies" (Lokalne politike). Odaberite opciju "Sigurnosne opcije".

5

Pomičite se kroz popis konfiguracije pravila da biste pronašli postavku pravila "Sigurnosna mreža: ograničite provjeru autentičnosti NTLM-a u ovoj domeni". Dvaput kliknite na nju da biste otvorili dijaloški okvir "Postavke sigurnosnih pravila".

6

Potvrdite okvir "Definiraj ovu konfiguraciju".

7

Odaberite "Zabrani račune domena poslužiteljima domena" s padajućeg popisa ako želite spriječiti korisnike domene da provjere autentičnost poslužitelja u domeni pomoću NTLM-a. Na padajućem popisu odaberite "Zabrani račun domene" ako želite spriječiti korisnike da koriste NTLM provjeru autentičnosti. Odaberite "Zabrani poslužitelje domena", ako želite izbjeći upotrebu poslužitelja domena za NTLM provjeru autentičnosti. Odaberite "Zabrani" da biste izbjegli NTLM provjeru autentičnosti.

8

Kliknite na gumb "Prihvati" da biste prihvatili promjenu. Bit ćete upozoreni da bi prilagodba mogla utjecati na kompatibilnost s korisnicima, uslugama i aplikacijama. Kliknite gumb "Da".

9

Kliknite gumb "Zatvori" u naslovnoj traci "Uređivača grupnih pravila", a zatim kliknite gumb "Zatvori" u naslovnoj traci "Konzole upravljanja grupnim pravilima".

savjeti
  • Ako jedno ili više računala trebaju provjeru autentičnosti pomoću NTLM-a, možete omogućiti opciju postavke pravila "Ograničiti NTLM: Dodavanje iznimki poslužitelja u ovoj domeni" i dodati računalo na popis.
  • Da biste utvrdili koristi li se NTLM u vašoj mreži, prije ograničenja NTLM razmislite o dopuštanju "mrežne sigurnosti: NTLM provjera autentičnosti u ovoj domeni" i "Sigurnost mreže: dolazni promet NTLM audita".
  • Detaljne informacije o svakoj postavci pravila možete pronaći na kartici "Objasni" u dijaloškom okviru "Postavke pravila".
  • Onemogućavanje NTLM-a može imati neočekivane rezultate. Pratite mrežu prije i nakon deaktiviranja NTLM-a kako biste stvorili potrebne iznimke i smanjili vrijeme zastoja.