NTLM'den nasıl kurtulurum

NT LAN Manager (NTLM), Windows NT ile tanıtıldı ve hala Windows 2000 öncesi istemcileri veya Windows 2000 Server'dan önceki sürümleri içeren ağlarda kullanılıyor. Kerberos kimlik doğrulaması ile pazarlık yapılamadığında çalışma grubu ağlarında da kullanılır. Ancak, NTLM kimlik doğrulaması Kerberos kimlik doğrulaması kadar güvenli değildir; bu nedenle, aşırı güvenlik gerektiren bir ağ yapılandırıyorsanız ve Windows Server 2008 R2 çalıştıran etki alanı denetleyicileri içeriyorsa ve istemciler Windows 7 çalıştırıyorsa, NTLM kullanımını sınırlamak isteyebilirsiniz.

İhtiyacınız olacak:
  • Windows Server 2008 R2 çalıştıran bir etki alanı denetleyicisi
  • Etki Alanı Yöneticileri grubunun üyesi olan kullanıcı hesabı
İzlenecek adımlar:

1

"Başlat" düğmesine tıklayın. Menüden "Yönetimsel Araçlar" öğesini seçin ve "Grup İlkesi Yönetim Konsolu" nu açmak için "Grup İlkesi Yönetimi" menüsünü tıklayın.

2

"Active Directory" için düğümü, ardından düğümün "etki alanı", etki alanı düğümü ve "etki alanı denetleyicileri" ni genişletin. "Varsayılan etki alanı denetleyicileri" seçeneğini seçin.

3

"Varsayılan etki alanı denetleyicileri" seçeneğini tıklayın ve ardından menüden "Düzenle" seçeneğini seçin.

4

"Bilgisayar Yapılandırması" ndaki "İlke" düğümlerini genişletin. "Windows Yapılandırması" düğümünü ve ardından "Güvenlik Yapılandırması" ve "Yerel İlkeler" düğümünü genişletin. "Güvenlik seçenekleri" seçeneğini seçin.

5

"Güvenlik Ağı: NTLM kimlik doğrulamasını bu etki alanında kısıtla" politika ayarını bulmak için politika yapılandırma listesinde ilerleyin. "Güvenlik politikası ayarları" iletişim kutusunu açmak için üzerine çift tıklayın.

6

"Bu yapılandırmayı tanımla" onay kutusunu işaretleyin.

7

Etki alanı kullanıcılarının NTLM kullanarak etki alanındaki sunucuların kimliğini doğrulamasını önlemek istiyorsanız, açılır listeden "Etki alanı hesaplarını reddet" seçeneğini seçin. Kullanıcıların NTLM kimlik doğrulaması kullanmasını önlemek istiyorsanız, açılır listeden "Etki alanı hesabını reddet" seçeneğini seçin. NTLM kimlik doğrulaması için etki alanı sunucularını kullanmaktan kaçınmak istiyorsanız, "Etki alanı sunucuları için reddet" seçeneğini seçin. NTLM kimlik doğrulamasını önlemek için "Reddet" seçeneğini seçin.

8

Değişikliği kabul etmek için "Kabul Et" düğmesine tıklayın. Düzenlemenin müşteriler, hizmetler ve uygulamalar ile uyumluluğu etkileyebileceği konusunda uyarılırsınız. "Evet" düğmesine tıklayın.

9

"Grup İlkesi Düzenleyicisi" nin başlık çubuğundaki "Kapat" düğmesini ve ardından "Grup İlkesi Yönetim Konsolu" nun başlık çubuğundaki "Kapat" düğmesini tıklayın.

ipuçları
  • Bir veya daha fazla bilgisayarın NTLM kullanarak kimliğini doğrulaması gerekiyorsa, "NTLM'yi kısıtla: Bu etki alanında sunucu istisnaları ekle" "ilkesini belirleyebilir ve bilgisayarı listeye ekleyebilirsiniz.
  • Ağınızda NTLM'nin kullanılıp kullanılmadığını bulmak için, NTLM kısıtlamasından önce "ağ güvenliği: bu alandaki NTLM kimlik doğrulama denetimi" ve "Ağ güvenliği: gelen NTLM denetim trafiğine" izin vermeyi düşünün.
  • Her politika ayarıyla ilgili ayrıntılı bilgileri "Politika ayarları" iletişim kutusunun "Açıkla" sekmesinde bulabilirsiniz.
  • NTLM'yi devre dışı bırakmak beklenmedik sonuçlara neden olabilir. Gerekli istisnaları oluşturmak ve kapalı kalma süresini azaltmak için NTLM'yi devre dışı bırakmadan önce ve sonra ağı izleyin.