Как отключить аутентификацию NTLM в домене Windows

Microsoft включает протокол NTML (NTML ) или  NT LAN Manager(NT LAN Manager Protocol) в Windows NT для базовых целей аутентификации и пытается усилить свою безопасность, внедрив аутентификацию Kerberos(Kerberos authentication) . Однако протокол NTML(NTML Protocol) по-прежнему используется в доменных сетях Windows(Windows Domain Networks) . В этой статье мы увидим, как отключить аутентификацию NTML(NTML Authentication) в домене Windows(Windows Domain) .

Отключить аутентификацию NTML(NTML Authentication) в домене Windows(Windows Domain)

Может быть несколько причин, по которым вы можете захотеть отключить аутентификацию NTML(NTML Authentication) в домене Windows(Windows Domain) . Некоторые из наиболее распространенных причин:

  1. NTML небезопасен и предлагает слабое шифрование.
  2. В случае NTML хэш вашего пароля будет храниться в службе LSA(LSA Service) . Он может быть легко извлечен злоумышленником.
  3. Он уязвим для  атак перехвата данных,(Data Interception attacks) так как отсутствует взаимная аутентификация между клиентом и сервером.

Узнав причины отключения NTML-аутентификации(NTML Authentication) , давайте рассмотрим причины ее отключения.

Это способы, которыми мы собираемся отключить аутентификацию NTML(NTML Authentication) в домене Windows(Windows Domain) .

  1. Редактор локальной групповой политики
  2. Редактор реестра

Поговорим о них подробно.

1] С помощью редактора групповой политики

Отключить аутентификацию NTLM в домене Windows

Перед отключением NTML нам нужно убедиться, что вы не используете его самый незащищенный протокол, т.е. NTMLv1 или NTML версии 1(NTML Version 1) . Это может сделать ваш домен уязвимым для злоумышленников. Когда вы закончите с этим, следуйте следующему методу, чтобы отключить аутентификацию NTML(NTML Authentication) в домене Windows(Windows Domain) с помощью редактора групповой политики(Group Policy Editor) .

Для этого откройте Редактор локальной групповой политики (Local Group Policy Editor ) из меню « Пуск(Start) » . Перейдите в следующее место.

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

Теперь дважды щелкните  Сетевая безопасность: уровень аутентификации LAN Manager. (Network Security: LAN Manager authentication level. )Выберите  Отправлен только ответ NTMLv2. Отказаться от LM и NTML (Sent NTMLv2 response only. Refuse LM & NTML ) на вкладке «Локальные настройки безопасности».

Нажмите  « Apply > Ok  », и аутентификация NTML будет отключена в вашем домене.

2] Редактором реестра

Если у вас нет редактора групповой политики(Group Policy Editor) , вы можете отключить NTML в редакторе реестра(Registry Editor) . Вы можете легко сделать это с помощью некоторых простых решений.

Запустите  редактор реестра (Registry Editor ) из меню « Пуск(Start Menu) » и перейдите в следующую папку.

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lsa

Теперь щелкните правой кнопкой мыши  Lsa  и выберите  « New > DWORD (32-bit) Value. Назовите его « LmCompatibilityLevel » и установите  для  параметра « Значение (Value data ) » значение 5,5, поскольку оно соответствует « Отправлено только ответ NTMLv2 (Sent NTMLv2 response only. Refuse LM & NTML”.)»  . (5. )Отказаться от LM и NTML».

Таким образом, вы сможете отключить NTML с помощью редактора реестра(Registry Editor) .

Читать дальше: (Read Next: )почему и как отключить SMBI в Windows 10



Флорентина Успенская

About the author

Я инженер-программист с более чем 15-летним опытом работы с Microsoft Office и Edge. Я также разработал несколько инструментов, используемых конечными пользователями, например, приложение для отслеживания важных медицинских данных и детектор программ-вымогателей. Мои навыки заключаются в разработке элегантного кода, который хорошо работает на различных платформах, а также в отличном понимании взаимодействия с пользователем.


Related posts