|
Ограничение использования проверки подлинности NTLM
|
| bet | 27/91 | | Sana | 18.02.2022 | | Hajmi | 1,32 Mb. | | #15622 | | Turi | Руководство |
Проверка подлинности диспетчера сети NT (NT LAN Manager, NTLM) повсеместно используется многими корпоративными сетями несмотря на то, что уже много лет в Windows есть более безопасные протоколы проверки подлинности. В ОС Windows 7 и Windows Server 2008 R2 появились новые политики, с помощью которых можно установить, где в сети используется проверка подлинности NTLM, и ограничить ее. Для этого потребуется собрать необходимые данные, проанализировать трафик NTLM и разработать методический процесс по ограничению подобного трафика в пользу более надежных протоколов, например Kerberos. Выполнение этой задачи потребует как знания требований используемых приложений, так и выработки стратегии по конфигурированию инфраструктуры на использование других протоколов.
Первый шаг в ограничении протокола NTLM — разобраться, какие компьютеры и приложения используют его для проверки подлинности. Сделать это можно, включив определенные политики безопасности аудита компьютеров под управлением ОС Windows 7. Анализируя журнал событий, можно узнать, какие приложения удастся настроить на использование более надежного протокола, а также установить, какие компьютеры или домены смогут работать без протокола NTLM. Установив характер использования протокола NTLM, можно с помощью параметров групповой политики Windows 7 и Windows Server 2008 R2 ограничить его использование на клиентах, серверах и контроллерах домена. Развертывание этих политик на компьютерах с ОС Windows 7 и Windows Server 2008 R2 окажет влияние и на использование протокола NTLM более ранними версиями Windows. Подробнее см. Ограничение проверки подлинности NTLM.
Параметры безопасности журналов событий
В журнал событий помещаются записи о событиях, происходящих в системе, а в журнал безопасности — события аудита. Раздел групповой политики, отвечающий за журналы, позволяет контролировать такие параметры журналов приложений, безопасности и системы, как максимальный размер, права доступа, настройки и способы обеспечения сохранности. Параметры журналов событий в редакторе GPO расположены по следующему пути:
|
| |
