วิธีกำจัด NTLM

NT LAN Manager (NTLM) ถูกนำมาใช้กับ Windows NT และยังคงใช้ในเครือข่ายที่รวมถึงไคลเอนต์ pre-Windows XP หรือรุ่นก่อนหน้า Windows 2000 Server นอกจากนี้ยังใช้ในเครือข่ายเวิร์กกรุ๊ปเมื่อการตรวจสอบสิทธิ์ Kerberos ไม่สามารถเจรจาได้ อย่างไรก็ตามการรับรองความถูกต้องของ NTLM ไม่ปลอดภัยเท่ากับการรับรองความถูกต้องของ Kerberos ดังนั้นหากคุณกำลังกำหนดค่าเครือข่ายที่ต้องการความปลอดภัยสูงและรวมถึงตัวควบคุมโดเมนที่ใช้ Windows Server 2008 R2 และไคลเอนต์ใช้ Windows 7 อยู่ คุณอาจต้องการ จำกัด การใช้งาน NTLM

คุณจะต้อง:
  • ตัวควบคุมโดเมนที่รัน Windows Server 2008 R2
  • บัญชีผู้ใช้ที่เป็นสมาชิกของกลุ่ม Domain Administrators
ขั้นตอนในการปฏิบัติตาม:

1

คลิกที่ปุ่ม "เริ่ม" เลือกรายการ "เครื่องมือการดูแลระบบ" จากเมนูจากนั้นคลิกที่เมนู "การจัดการนโยบายกลุ่ม" เพื่อเปิด "คอนโซลการจัดการนโยบายกลุ่ม"

2

ขยายโหนดสำหรับ "Active Directory" ตามด้วย "โดเมน" ของโหนดโหนดโดเมนและ "ตัวควบคุมโดเมน" เลือกตัวเลือก "ตัวควบคุมโดเมนเริ่มต้น"

3

คลิกที่ "ตัวควบคุมโดเมนเริ่มต้น" จากนั้นเลือกตัวเลือก "แก้ไข" จากเมนู

4

ขยายโหนด "นโยบาย" ใน "การกำหนดค่าคอมพิวเตอร์" ขยายโหนด "การกำหนดค่า Windows" ตามด้วย "การกำหนดค่าความปลอดภัย" และโหนด "นโยบายท้องถิ่น" เลือกตัวเลือก "Security options"

5

เลื่อนดูรายการการกำหนดค่านโยบายเพื่อค้นหาการตั้งค่านโยบาย "ความปลอดภัยเครือข่าย: จำกัด การรับรองความถูกต้องของ NTLM ในโดเมนนี้" คลิกสองครั้งที่มันเพื่อเปิดกล่องโต้ตอบ "การตั้งค่านโยบายความปลอดภัย"

6

ทำเครื่องหมายที่ช่อง "กำหนดการกำหนดค่านี้"

7

เลือก "ปฏิเสธบัญชีโดเมนไปยังเซิร์ฟเวอร์โดเมน" จากรายการดรอปดาวน์หากคุณต้องการป้องกันไม่ให้ผู้ใช้โดเมนตรวจสอบสิทธิ์เซิร์ฟเวอร์ในโดเมนโดยใช้ NTLM เลือก "ปฏิเสธสำหรับบัญชีโดเมน" จากรายการดรอปดาวน์หากคุณต้องการป้องกันไม่ให้ผู้ใช้ใช้การพิสูจน์ตัวตน NTLM เลือก "ปฏิเสธสำหรับเซิร์ฟเวอร์โดเมน" หากคุณต้องการหลีกเลี่ยงการใช้เซิร์ฟเวอร์โดเมนสำหรับการตรวจสอบสิทธิ์ NTLM เลือก "ปฏิเสธ" เพื่อหลีกเลี่ยงการรับรองความถูกต้อง NTLM

8

คลิกที่ปุ่ม "ยอมรับ" เพื่อยอมรับการเปลี่ยนแปลง คุณจะได้รับการเตือนว่าการปรับอาจส่งผลต่อความเข้ากันได้กับลูกค้าบริการและแอปพลิเคชัน คลิกที่ปุ่ม "ใช่"

9

คลิกปุ่ม "ปิด" ในแถบชื่อเรื่องของ "ตัวแก้ไขนโยบายกลุ่ม" จากนั้นคลิกปุ่ม "ปิด" ในแถบชื่อเรื่องของ "คอนโซลการจัดการนโยบายกลุ่ม"

เคล็ดลับ
  • หากคอมพิวเตอร์อย่างน้อยหนึ่งเครื่องจำเป็นต้องตรวจสอบสิทธิ์โดยใช้ NTLM คุณสามารถเปิดใช้งานตัวเลือกการตั้งค่านโยบาย "จำกัด NTLM: เพิ่มข้อยกเว้นเซิร์ฟเวอร์ในโดเมนนี้" และเพิ่มคอมพิวเตอร์ในรายการ
  • หากต้องการค้นหาว่ามีการใช้ NTLM ในเครือข่ายของคุณหรือไม่ให้พิจารณาอนุญาต "ความปลอดภัยเครือข่าย: การตรวจสอบความถูกต้องของ NTLM ในโดเมนนี้" และ "ความปลอดภัยเครือข่าย: ปริมาณการตรวจสอบ NTLM ที่เข้ามา" ก่อนการ จำกัด NTLM
  • คุณสามารถค้นหาข้อมูลโดยละเอียดเกี่ยวกับการตั้งค่านโยบายแต่ละรายการได้ในแท็บ "อธิบาย" ของกล่องโต้ตอบ "การตั้งค่านโยบาย"
  • การปิดใช้งาน NTLM อาจมีผลลัพธ์ที่ไม่คาดคิด ตรวจสอบเครือข่ายก่อนและหลังปิดการใช้งาน NTLM เพื่อสร้างข้อยกเว้นที่จำเป็นและลดเวลาหยุดทำงาน