Hvordan bli kvitt NTLM

Hvordan bli kvitt NTLM


NT LAN Manager (NTLM) godkjennings ble introdusert med Windows NT og er fortsatt brukes på nettverk som inkluderer pre-Windows XP-klienter eller pre-Windows 2000 Server-servere. Det er også brukt når godkjenne brukere i en arbeidsgruppe miljø og i et domene når Kerberos-godkjenning ikke kan forhandles. Imidlertid er NTLM-godkjenning ikke er like sikker som Kerberos-godkjenning, så hvis du konfigurerer et nettverk som krever høy sikkerhet og inneholder domenekontrollere som kjører Windows Server 2008 R2 og klienter som kjører Windows 7, kan det være lurt å begrense bruken av NTLM.

Bruksanvisning

1 Klikk på "Start" -knappen. Pek på "Administrative Tools" menyen, og klikk deretter på "Group Policy Management" menyvalget for å åpne "Group Policy Management Console."

2 Utvid noden for "Active Directory" skogen, etterfulgt av "domener" node, node for domenet og "Domain Controllers" node. Velg "Default Domain Controllers" -politikk.

3 Høyreklikk på "Default Domain Controllers" -politikk, og deretter velge "Edit" menyen.

4 Utvid "Politikk" node under "Computer Configuration". Utvid "Windows-innstillinger" node etterfulgt av "Security Settings" node og "Lokale policyer" node. Velg "Security Options" node.

5 Rull nedover listen over policyinnstillinger for å finne "Nettverkssikkerhet: Begrense NTLM-godkjenning i dette domenet" policy setting. Dobbeltklikk på den for å åpne sin "Sikkerhetspolitikk Innstillinger" dialogen.

6 Sjekk "Definer denne policyinnstillingen" boksen.

7 Velg "Nekt for domenekontoer til domenet servere" fra rullegardinlisten hvis du vil unngå domenebrukere autentiserer seg til servere i domenet ved hjelp av NTLM. Velg "Nekt for domenekonto" fra rullegardinlisten hvis du vil unngå domene brukere kan logge seg på ved hjelp av NTLM-godkjenning. Velg "Nekt for domene tjenere" hvis du ønsker å unngå domene servere fra å bruke NTLM for godkjenning. Velg "Forby alt" for å forhindre NTLM-godkjenning.

8 Klikk på "OK" -knappen for å godta endringen. Du vil bli bedt med en advarsel om at innstillingen kan påvirke kompatibiliteten med kunder, tjenester og applikasjoner. Klikk på "Ja" -knappen.

9 Klikk på "Close" knappen i tittellinjen på "Group Policy Management Editor", og klikk deretter på "Close" knappen i tittellinjen på "Group Policy Management Console."

Hint

  • Hvis en eller flere datamaskiner må godkjenne bruk av NTLM, kan du aktivere "Begrens NTLM: Legg server unntak i dette domenet" policyinnstillingen og legge datamaskinen til listen.
  • For å finne ut om NTLM blir brukt på nettverket, bør du vurdere å aktivere "Nettverkssikkerhet: Audit NTLM-godkjenning i dette domenet" og "Nettverkssikkerhet: Tilsyn innkommende NTLM trafikk" før begrense NTLM.
  • Du kan finne detaljert informasjon om hver policyinnstillingen på fanen "Forklar" av "Policy Setting" dialogen.
  • Deaktivering NTLM kan gi uventede resultater. Overvåk nettverket før og etter deaktivering NTLM å skape de nødvendige unntak og redusere nedetid.