Hur bli av med NTLM

NT LAN Manager (NTLM) introducerades med Windows NT och används fortfarande i nätverk som innehåller pre-Windows XP-klienter eller versioner före Windows 2000 Server. Den används också i arbetsgruppsnät när Kerberos-autentisering inte kan förhandlas fram. NTLM-autentisering är dock inte lika säker som Kerberos-autentisering, så om du konfigurerar ett nätverk som kräver extrem säkerhet och inkluderar domänkontrollanter som kör Windows Server 2008 R2 och klienter kör Windows 7, är det Du kanske vill begränsa användningen av NTLM .

Du behöver:
  • En domänkontrollant som kör Windows Server 2008 R2
  • Användarkonto som är medlem i gruppen Domänadministratörer
Steg att följa:

1

Klicka på "Start" -knappen. Välj alternativet "Administrationsverktyg" från menyn och klicka sedan på menyn "Grupppolicyhantering" för att öppna "Grupphanteringskonsol".

2

Expand noden för "Active Directory", följt av "domänen" av noden, domännoden och "domänkontrollanterna". Välj alternativet "domänkontrollanter".

3

Klicka på "Default domain controllers" och välj sedan alternativet "Edit" från menyn.

4

Expanda "Policy" noderna i "Computer Configuration." Expand noden "Windows Configuration" följt av "Security Configuration" och "Local Policies" noden. Välj alternativet "Säkerhetsalternativ".

5

Bläddra igenom policykonfigurationslistan för att hitta policyinställningen "Säkerhetsnätverk: Begränsa NTLM-autentisering i den här domänen." Dubbelklicka på den för att öppna dialogrutan "Säkerhetspolicyinställningar".

6

Markera kryssrutan "Definiera denna konfiguration av".

7

Välj "Neka domänkonton till domänservrar" från listrutan om du vill förhindra domänvändare att autentisera servrar i domänen med hjälp av NTLM. Välj "Neka för domänkonto" i listrutan om du vill hindra användare från att använda NTLM-autentisering. Välj "Neka för domänservrar" om du vill undvika användning av domänservrar för NTLM-autentisering. Välj "Neka" för att undvika någon NTLM-autentisering.

8

Klicka på knappen "Acceptera" för att acceptera ändringen. Du kommer att varnas för att justeringen kan påverka kompatibilitet med kunder, tjänster och applikationer. Klicka på "Ja" -knappen.

9

Klicka på "Stäng" -knappen i titellinjen för "Grupprincipredigerare" och klicka sedan på "Stäng" -knappen i titellinjen i "Grupphanteringskonsol".

tips
  • Om en eller flera datorer behöver autentisera med NTLM kan du aktivera alternativet för policyinställning "Begränsa NTLM: Lägg till server undantag i den här domänen" och lägg till datorn i listan.
  • För att ta reda på om NTLM används i ditt nätverk, överväga att tillåta att "nätverkssäkerhet: NTLM-verifieringskontroll i den här domänen" och "Nätverkssäkerhet: inkommande NTLM-revisionstrafik" före NTLM-begränsningen.
  • Du kan hitta detaljerad information om varje policyinställning på fliken "Förklara" i dialogrutan "Policyinställningar".
  • Inaktivera NTLM kan ha oväntade resultat. Övervaka nätverket före och efter att deaktivera NTLM för att skapa nödvändiga undantag och minska nedetiden.