การตรวจสอบสิทธิ์ NTLM:วิธีปิดใช้งานใน Windows 10

ในบทช่วยสอนนี้ เราจะให้คำแนะนำเกี่ยวกับ “วิธีปิดการใช้งาน NTLM Authentication Windows 10 ” คุณจะได้รับคำแนะนำง่ายๆ ในการทำเช่นนั้น มาเริ่มเรื่องกันเลย

'NTLM Authentication' ใน Windows 10 มีจุดประสงค์อะไร

NTLM ¹ การตรวจสอบสิทธิ์ใน Windows 10:  NTLM เป็นผู้จัดการ LAN เทคโนโลยีใหม่ เป็นแพ็คเกจพิเศษสำหรับโปรโตคอลความปลอดภัยที่จัดทำโดย Microsoft เพื่อตรวจสอบตัวตนของลูกค้าและปกป้องความสมบูรณ์และความลับของการกระทำของพวกเขา เทคโนโลยีนี้มีพื้นฐานมาจากโปรโตคอลการตอบสนองต่อความท้าทายเพื่อยืนยันลูกค้าโดยไม่จำเป็นต้องระบุรหัสผ่าน

NTLM รับรองความถูกต้อง ลูกค้าด้วยวิธีตอบคำถาม กระบวนการดังกล่าวได้รับสามข้อความ เช่น ข้อความการเจรจาจากลูกค้า ข้อความท้าทายจากเซิร์ฟเวอร์ และข้อความรับรองความถูกต้องจากผู้ใช้ อย่างไรก็ตาม เนื่องจากช่องโหว่ที่ทราบ NTLM ยังคงมีการใช้งานอย่างกว้างขวางแม้ในระบบใหม่เพื่อรักษาความเข้ากันได้กับลูกค้าและเซิร์ฟเวอร์เดิม

NLTM ยังคงได้รับการสนับสนุนจาก Microsoft แต่ถูกแทนที่ด้วย ‘Kerberos’ ² เป็นโปรโตคอลการตรวจสอบสิทธิ์หลักใน Windows 2000 และโดเมน Active Directory (AD) เพิ่มเติมทั้งหมด ในกรณีที่คุณยังไม่เคยได้ยินเกี่ยวกับเรื่องนี้ ‘Kerberos’ เป็นโปรโตคอลการตรวจสอบสิทธิ์ที่แทนที่ NTLM เป็นยูทิลิตี้การรับรองความถูกต้องหลัก/ทั่วไปใน Windows เวอร์ชัน 2000 และเวอร์ชันเพิ่มเติมทั้งหมด ความแตกต่างทั่วไประหว่าง 'Kerberos' โปรโตคอลและ 'NTLM' โปรโตคอลคือว่ารหัสผ่านถูกแฮชหรือเข้ารหัส NTLM มีพื้นฐานมาจาก 'การแฮชรหัสผ่าน' – คุณลักษณะทางเดียวที่สร้างสตริงข้อความในไฟล์อินพุต อย่างไรก็ตาม 'Kerberos' อยู่ที่การเข้ารหัส ซึ่งเป็นคุณลักษณะสองทางที่รบกวนและปลดล็อกข้อมูลโดยใช้คีย์เข้ารหัสและถอดรหัส

ปัญหาเกี่ยวกับโปรโตคอล NTLM:

• รหัสผ่านที่เก็บไว้ แฮชในหน่วยความจำของบริการ LSA สามารถรับได้อย่างง่ายดายโดยใช้ยูทิลิตี้ต่างๆ เช่น mimikatz จากนั้นรหัสผ่านแฮชก็อาจถูกนำไปใช้สำหรับการโจมตีครั้งต่อๆ ไป
• รหัสผ่านที่ไม่รัดกุมหรือไม่สำคัญเป็นอีกปัจจัยสำหรับ NTLM ปัญหาเกี่ยวกับโปรโตคอล
• ขาดการตรวจสอบความถูกต้องร่วมกันระหว่างเซิร์ฟเวอร์และลูกค้าที่นำไปสู่การโจมตีการสกัดกั้นข้อมูลและการเข้าถึงข้อมูลเครือข่ายโดยไม่ได้รับอนุญาต
• NTLMอื่นๆ การรั่วไหลหรือปัญหา

นอกจากนี้ NTLM มีพื้นฐานมาจากการจับมือกันสามทางระหว่างลูกค้าและเซิร์ฟเวอร์เพื่อตรวจสอบความถูกต้องของลูกค้า ในขณะที่ Kerberos อยู่ในขั้นตอนสองทางที่จัดส่งโดยใช้บริการสร้างตั๋วหรือสถานที่จำหน่ายกุญแจ NTLM โปรโตคอลถูกเปิดเผยก่อนความเสี่ยงด้านความปลอดภัยและการรั่วไหลด้านความปลอดภัยที่ทราบหรือปัญหาที่เกี่ยวข้องกับการแฮชรหัสผ่านและการใส่เกลือ

โปรโตคอล NLTM แทนที่จะตรวจสอบให้แน่ใจว่ารหัสผ่านบนเซิร์ฟเวอร์และตัวควบคุมโดเมนไม่ใช่ 'ถูกทำให้เค็ม' . หมายความว่าคุณไม่สามารถเพิ่มสตริงอักขระสุ่มใด ๆ ลงในรหัสผ่านที่แฮชเพื่อป้องกันไม่ให้พยายามถอดรหัสได้ในที่สุด ช่องโหว่ดังกล่าวอาจทำให้ผู้โจมตีหรือผู้ฉ้อโกงทางออนไลน์สามารถถอดรหัสรหัสผ่านผ่านการพยายามเข้าสู่ระบบหลายครั้ง และเนื่องจากรหัสผ่านที่ไม่รัดกุมหรือไม่สำคัญ พวกเขาจึงสามารถจัดการเพื่อเข้าถึงบัญชีได้ในที่สุด

คำแนะนำในการปิดใช้งาน NTLM Authentication Windows 10 โดยใช้ Group Policy Management Editor

อันดับแรก ผู้ดูแลระบบโดเมนต้องแน่ใจว่า NTLM และไม่อนุญาตให้ใช้โปรโตคอล LM สำหรับการตรวจสอบสิทธิ์ในโดเมน คุณสามารถกำหนดวิธีการตรวจสอบสิทธิ์ที่ร้องขอได้โดยใช้นโยบายโดเมน (หรือในเครื่อง)

1. ใช้ 'Windows + R' ปุ่มลัดบนแป้นพิมพ์ ระบุ ‘gpmc.msc’ ในการเปิด 'เรียกใช้' กล่องโต้ตอบและคลิกที่ 'ตกลง' ปุ่มเพื่อเปิด 'ตัวแก้ไขการจัดการนโยบายกลุ่ม' .
2. ไปที่ 'การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายในพื้นที่ -> ตัวเลือกความปลอดภัย' .
3. ค้นหา 'ความปลอดภัยเครือข่าย:ระดับการตรวจสอบสิทธิ์ผู้จัดการ LAN' นโยบาย จากนั้นดับเบิลคลิกที่มัน
4. เลือก 'ส่งการตอบกลับ NTLMv2 เท่านั้น ปฏิเสธ LM &NTLM’ คุณลักษณะภายใต้ 'ส่งการตอบกลับ LM &NTLM' พื้นที่/ดรอปดาวน์เพื่อปฏิเสธคำขอ LM และ NTLM ทั้งหมด

คำแนะนำในการปิดใช้งาน NTLM Authentication Windows 10 โดยใช้ Registry Editor

1. ใช้ 'Windows + R' ปุ่มลัดบนแป้นพิมพ์ ระบุ 'regedit' ในการเผย 'วิ่ง' กล่องโต้ตอบและคลิกที่ 'ตกลง' ปุ่มเพื่อเปิด 'ตัวแก้ไขรีจิสทรี' ³ .
2. ไปยังจุดหมายด้านล่าง

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

3. ณ จุดนี้ ให้คลิกขวาที่พื้นที่ว่างในส่วนด้านขวาและเลือก 'ใหม่> DWORD' และเสนอชื่อเป็น 'lmCompatibilityLevel' กำหนดพารามิเตอร์เป็น '0 ถึง 5' แล้วกด ‘ตกลง’ เพื่อบันทึกตัวเลือกของคุณ
4. ณ จุดนี้ ตัวเลือก 5 เนื่องจากข้อมูลค่าสอดคล้องกับ 'ส่งการตอบสนอง NTLM เท่านั้น ปฏิเสธ LM และ NTLM' . บันทึกการแก้ไขทั้งหมด

โปรดอ่านคำแนะนำนี้: ฉันจะลบ Advanced Windows Manager ได้อย่างไร

คู่มือการเปิดใช้งาน NTLM Authentication Audit Logging

คุณต้องแน่ใจว่าไม่มีโปรแกรมเหลืออยู่ในโดเมนที่ต้องการแอปพลิเคชันของ NTLM ก่อนปิดใช้งาน NTLM อย่างเต็มรูปแบบในโดเมนและไปที่ ‘Kerbeors’ โปรโตคอล

1. เริ่ม 'ตัวแก้ไขการจัดการนโยบายกลุ่ม' โดยทำตามคำแนะนำข้างต้น จากนั้นไปที่ ‘การกำหนดค่าคอมพิวเตอร์ -> นโยบาย -> การตั้งค่า Windows -> การตั้งค่าความปลอดภัย -> นโยบายท้องถิ่น -> ตัวเลือกความปลอดภัย’ เส้นทาง
2. ค้นหาและเปิดใช้งาน 'ความปลอดภัยของเครือข่าย:จำกัด NTLM:ตรวจสอบการตรวจสอบสิทธิ์ NTLM ในโดเมนนี้' นโยบายและกำหนดค่าเป็น 'เปิดใช้งานทั้งหมด' .
3. ทำซ้ำขั้นตอนเดิมเพื่อเปิดใช้งาน 'ความปลอดภัยของเครือข่าย:จำกัด NTLM:ตรวจสอบการรับส่งข้อมูล NTLM ขาเข้า' นโยบาย

คำแนะนำในการตรวจสอบเหตุการณ์ของการใช้ NTLM Authentication

คุณสามารถค้นหา การตรวจสอบสิทธิ์ NTLM ขึ้นมาในบันทึกการใช้งานและบริการ

1. ไปที่ 'บันทึกการบริการ' และอ้างถึง ‘Microsoft> Windows’ .
2. รับ NTLM พื้นที่ของ Event Viewer ณ จุดนี้ คุณอาจวิเคราะห์เหตุการณ์ในแต่ละเซิร์ฟเวอร์หรือนำไปไว้ที่ส่วนกลางของ Windows Event Log Collector
3. ค้นหาแอปที่ใช้ NTLM ในโดเมน และคุณต้องสลับไปใช้ ‘Kerberos’ อาจโดยวิธี SPN

พิจารณาการอ่าน: การควบคุมโดยผู้ปกครองใน Windows 10 คำแนะนำในการสร้าง

คำแนะนำในการจำกัด NTLM ในโดเมน Active Directory อย่างสมบูรณ์

การตรวจสอบสิทธิ์โดยไม่มี NTLM จะทำงานแตกต่างกันไปในแต่ละโปรแกรมในโดเมนของเรา เราสามารถเพิ่มบัญชีลูกค้าใน 'ผู้ใช้ที่ได้รับการป้องกัน' กลุ่มโดเมน ทันทีที่การยืนยันสิ้นสุดลง คุณสามารถปิดใช้งานการตรวจสอบสิทธิ์ NTLM . ได้อย่างสมบูรณ์ ในโดเมน Windows ของคุณ

สรุป

ฉันมั่นใจว่าบทช่วยสอนนี้ช่วยคุณใน วิธีปิดใช้งาน NTLM Authentication Windows 10 ด้วยวิธีแก้ปัญหา/แนวทางง่ายๆ ที่หลากหลาย คุณสามารถอ่านและปฏิบัติตามหลักเกณฑ์ของเราเพื่อให้เป็นไปได้ ในกรณีที่บทช่วยสอนช่วยคุณได้แน่นอน คุณสามารถแบ่งปันบทความกับลูกค้ารายอื่นเพื่อช่วยเหลือพวกเขาได้ ในกรณีที่คุณมีข้อเสนอหรือคำถาม โปรดแชร์ในส่วนความคิดเห็นด้านล่าง