Como se livrar de NTLM

O NT LAN Manager (NTLM) foi introduzido no Windows NT e ainda é usado em redes que incluem clientes anteriores ao Windows XP ou versões anteriores ao Windows 2000 Server. Ele também é usado em redes de grupo de trabalho quando a autenticação Kerberos não pode ser negociada. No entanto, a autenticação NTLM não é tão segura quanto a autenticação Kerberos, portanto, se você estiver configurando uma rede que exija segurança extrema e incluir controladores de domínio que executam o Windows Server 2008 R2 e os clientes estiverem executando o Windows 7, Você pode querer restringir o uso do NTLM .

Você vai precisar de:
  • Um controlador de domínio que executa o Windows Server 2008 R2
  • Conta de usuário que é membro do grupo Administradores do domínio
Passos a seguir:

1

Clique no botão "Iniciar". Escolha o item "Ferramentas Administrativas" no menu e clique no menu "Gerenciamento de Diretiva de Grupo" para abrir o "Console de Gerenciamento de Diretiva de Grupo".

2

Expanda o nó para "Active Directory", seguido pelo "domínio" do nó, o nó do domínio e os "controladores de domínio". Selecione a opção "controladores de domínio padrão".

3

Clique em "Controladores de domínio padrão" e escolha a opção "Editar" no menu.

4

Expanda os nós "Política" em "Configuração do Computador". Expanda o nó "Configuração do Windows" seguido por "Configuração de Segurança" e o nó "Políticas Locais". Selecione a opção "Opções de segurança".

5

Role pela lista de configuração de política para encontrar a configuração de política "Rede de segurança: restringir a autenticação NTLM neste domínio". Clique duas vezes nele para abrir a caixa de diálogo "Configurações da diretiva de segurança".

6

Marque a caixa de seleção "Definir esta configuração de".

7

Selecione "Negar contas de domínio para servidores de domínio" na lista suspensa se quiser impedir que os usuários do domínio autentiquem servidores no domínio usando o NTLM. Selecione "Negar para conta de domínio" na lista suspensa se quiser impedir que os usuários usem a autenticação NTLM. Selecione "Negar para servidores de domínio", se desejar evitar o uso de servidores de domínio para autenticação NTLM. Selecione "Negar" para evitar qualquer autenticação NTLM.

8

Clique no botão "Aceitar" para aceitar a alteração. Você será avisado de que o ajuste pode afetar a compatibilidade com clientes, serviços e aplicativos. Clique no botão "Sim".

9

Clique no botão "Fechar" na barra de título do "Editor de diretiva de grupo" e, em seguida, clique no botão "Fechar" na barra de título do "Group Policy Management Console".

Dicas
  • Se um ou mais computadores precisarem ser autenticados usando o NTLM, você poderá ativar a opção de configuração de política "Restringir NTLM: Adicionar exceções de servidor neste domínio" e adicionar o computador à lista.
  • Para descobrir se o NTLM é usado em sua rede, considere permitir "segurança de rede: auditoria de autenticação NTLM neste domínio" e "Segurança de rede: tráfego de auditoria NTLM recebido" antes da restrição NTLM.
  • Você pode encontrar informações detalhadas sobre cada configuração de política na guia "Explicar" da caixa de diálogo "Configurações da política".
  • Desativar o NTLM pode ter resultados inesperados. Monitore a rede antes e depois de desativar o NTLM para criar as exceções necessárias e reduzir o tempo de inatividade.