Làm thế nào để thoát khỏi NTLM

NT LAN Manager (NTLM) đã được giới thiệu với Windows NT và vẫn được sử dụng trong các mạng bao gồm các máy khách hoặc phiên bản Windows XP trước Windows 2000 Server. Nó cũng được sử dụng trong các mạng nhóm làm việc khi không thể đàm phán xác thực Kerberos. Tuy nhiên, xác thực NTLM không an toàn như xác thực Kerberos, vì vậy nếu bạn định cấu hình mạng yêu cầu bảo mật cao và bao gồm các bộ điều khiển miền đang chạy Windows Server 2008 R2 và máy khách đang chạy Windows 7, thì đó là Bạn có thể muốn hạn chế sử dụng NTLM .

Bạn sẽ cần:
  • Bộ kiểm soát miền chạy Windows Server 2008 R2
  • Tài khoản người dùng là thành viên của nhóm Quản trị viên tên miền
Các bước để làm theo:

1

Nhấp vào nút "Bắt đầu". Chọn mục "Công cụ quản trị" từ menu, sau đó nhấp vào menu "Quản lý chính sách nhóm" để mở "Bảng điều khiển quản lý chính sách nhóm".

2

Mở rộng nút cho "Active Directory", theo sau là "miền" của nút, nút miền và "bộ điều khiển miền". Chọn tùy chọn "bộ điều khiển miền mặc định".

3

Nhấp vào "Bộ điều khiển miền mặc định" và sau đó chọn tùy chọn "Chỉnh sửa" từ menu.

4

Mở rộng các nút "Chính sách" trong "Cấu hình máy tính." Mở rộng nút "Cấu hình Windows" theo sau là "Cấu hình bảo mật" và nút "Chính sách cục bộ". Chọn tùy chọn "Tùy chọn bảo mật".

5

Cuộn qua danh sách cấu hình chính sách để tìm cài đặt chính sách "Mạng bảo mật: Hạn chế xác thực NTLM trong miền này." Nhấp đúp vào nó để mở hộp thoại "Cài đặt chính sách bảo mật".

6

Chọn hộp kiểm "Xác định cấu hình này".

7

Chọn "Từ chối tài khoản miền đến máy chủ miền" từ danh sách thả xuống nếu bạn muốn ngăn người dùng tên miền xác thực máy chủ trong miền bằng NTLM. Chọn "Từ chối tài khoản miền" từ danh sách thả xuống nếu bạn muốn ngăn người dùng sử dụng xác thực NTLM. Chọn "Từ chối cho máy chủ miền", nếu bạn muốn tránh việc sử dụng máy chủ miền để xác thực NTLM. Chọn "Từ chối" để tránh mọi xác thực NTLM.

8

Nhấp vào nút "Chấp nhận" để chấp nhận thay đổi. Bạn sẽ được cảnh báo rằng việc điều chỉnh có thể ảnh hưởng đến khả năng tương thích với khách hàng, dịch vụ và ứng dụng. Nhấp vào nút "Có".

9

Nhấp vào nút "Đóng" trong thanh tiêu đề của "Trình chỉnh sửa chính sách nhóm", sau đó nhấp vào nút "Đóng" trong thanh tiêu đề của "Bảng điều khiển quản lý chính sách nhóm".

Mẹo
  • Nếu một hoặc nhiều máy tính cần xác thực bằng NTLM, bạn có thể bật tùy chọn cài đặt chính sách "Hạn chế NTLM: Thêm ngoại lệ máy chủ trong miền này" và thêm máy tính vào danh sách.
  • Để tìm hiểu xem NTLM có được sử dụng trong mạng của bạn hay không, hãy xem xét cho phép "bảo mật mạng: kiểm tra xác thực NTLM trong miền này" và "Bảo mật mạng: lưu lượng kiểm toán NTLM đến" trước hạn chế NTLM.
  • Bạn có thể tìm thấy thông tin chi tiết về từng cài đặt chính sách trên tab "Giải thích" của hộp thoại "Cài đặt chính sách".
  • Vô hiệu hóa NTLM có thể có kết quả bất ngờ. Giám sát mạng trước và sau khi tắt NTLM để tạo các ngoại lệ cần thiết và giảm thời gian chết.