Hur bli av med NTLM
NT LAN Manager (NTLM) introducerades med Windows NT och används fortfarande i nätverk som innehåller pre-Windows XP-klienter eller versioner före Windows 2000 Server. Den används också i arbetsgruppsnät när Kerberos-autentisering inte kan förhandlas fram. NTLM-autentisering är dock inte lika säker som Kerberos-autentisering, så om du konfigurerar ett nätverk som kräver extrem säkerhet och inkluderar domänkontrollanter som kör Windows Server 2008 R2 och klienter kör Windows 7, är det Du kanske vill begränsa användningen av NTLM .
- En domänkontrollant som kör Windows Server 2008 R2
- Användarkonto som är medlem i gruppen Domänadministratörer
1
Klicka på "Start" -knappen. Välj alternativet "Administrationsverktyg" från menyn och klicka sedan på menyn "Grupppolicyhantering" för att öppna "Grupphanteringskonsol".
2
Expand noden för "Active Directory", följt av "domänen" av noden, domännoden och "domänkontrollanterna". Välj alternativet "domänkontrollanter".
3
Klicka på "Default domain controllers" och välj sedan alternativet "Edit" från menyn.
4
Expanda "Policy" noderna i "Computer Configuration." Expand noden "Windows Configuration" följt av "Security Configuration" och "Local Policies" noden. Välj alternativet "Säkerhetsalternativ".
5
Bläddra igenom policykonfigurationslistan för att hitta policyinställningen "Säkerhetsnätverk: Begränsa NTLM-autentisering i den här domänen." Dubbelklicka på den för att öppna dialogrutan "Säkerhetspolicyinställningar".
6
Markera kryssrutan "Definiera denna konfiguration av".
7
Välj "Neka domänkonton till domänservrar" från listrutan om du vill förhindra domänvändare att autentisera servrar i domänen med hjälp av NTLM. Välj "Neka för domänkonto" i listrutan om du vill hindra användare från att använda NTLM-autentisering. Välj "Neka för domänservrar" om du vill undvika användning av domänservrar för NTLM-autentisering. Välj "Neka" för att undvika någon NTLM-autentisering.
8
Klicka på knappen "Acceptera" för att acceptera ändringen. Du kommer att varnas för att justeringen kan påverka kompatibilitet med kunder, tjänster och applikationer. Klicka på "Ja" -knappen.
9
Klicka på "Stäng" -knappen i titellinjen för "Grupprincipredigerare" och klicka sedan på "Stäng" -knappen i titellinjen i "Grupphanteringskonsol".
tips- Om en eller flera datorer behöver autentisera med NTLM kan du aktivera alternativet för policyinställning "Begränsa NTLM: Lägg till server undantag i den här domänen" och lägg till datorn i listan.
- För att ta reda på om NTLM används i ditt nätverk, överväga att tillåta att "nätverkssäkerhet: NTLM-verifieringskontroll i den här domänen" och "Nätverkssäkerhet: inkommande NTLM-revisionstrafik" före NTLM-begränsningen.
- Du kan hitta detaljerad information om varje policyinställning på fliken "Förklara" i dialogrutan "Policyinställningar".
- Inaktivera NTLM kan ha oväntade resultat. Övervaka nätverket före och efter att deaktivera NTLM för att skapa nödvändiga undantag och minska nedetiden.