Назад | Перейти на главную страницу

Проверка подлинности NTLM и компьютеры, не присоединенные к домену, получают доступ к общим папкам в домене

У меня есть компьютер Win 10, не присоединенный к домену, который обращается к общим ресурсам на сервере Win 2016, присоединенном к домену. При первом подключении к одному из этих общих ресурсов клиент Win 10 запрашивается, и я предоставляю учетные данные домена. Все работает как положено.

Если я правильно понимаю, соединение в этом сценарии будет использовать NTLM, а не более безопасный протокол, такой как Kerberos. Верно ли это предположение? У меня есть допустимый вариант использования, чтобы этот компьютер не был присоединен к домену, но я бы хотел избежать использования NTLM из-за таких инструментов взлома, как Mimikatz. Существуют ли какие-либо передовые методы обеспечения безопасного доступа компьютеров, не входящих в домен, к общим папкам в домене?

Да, это так, хотя есть разумные шаги, которые вы можете предпринять, чтобы сделать аутентификацию NTLM ... менее рискованной. (Но не без риска.)

Используйте длинные пароли

Пароли NTLM по-прежнему перевариваются с использованием относительно слабой схемы хеширования, при этом 8-символьные пароли можно взломать примерно за 2-3 часа. (Источник 1 Источник 2Традиционный совет заключался в использовании паролей длиной не менее 14 символов, хотя это больше не актуально, потому что, поскольку пароли Windows 2000 больше не перевариваются каждой последовательностью из 7 символов, по сути, длина пароля теперь дает линейные преимущества. (Источник) 14 не является необоснованной длиной для начала.

Принудительное использование NTLM версии 2

Вы можете использовать объекты групповой политики в своем домене, чтобы применить это к членам домена, если вы еще этого не сделали, хотя на своем компьютере, не являющемся доменом, вы можете использовать локальную политику безопасности, чтобы установить тот же параметр. Вам понадобится опция «Отправить только ответ NTLMv2, отказаться от LM и NTLM». При этом, когда два компьютера общаются, если только один из них (например, ваш компьютер вне домена) полностью отказывается от LM и NTLMv1, другой компьютер в любом случае будет вынужден использовать NTLMv2, поэтому вы можете безопасно применить это изменение только к своему не домену компьютер. Это не удастся, только если компьютеры домена настроены так, чтобы не поддерживать NTLMv2, но это просто глупо.

На вашем компьютере вне домена вы можете сделать это следующим образом:

  • открыто Инструменты управления через стартовое меню или панель управления
  • открыто Политика локальной безопасности
  • Перейдите к Местная политика затем Параметры безопасности
  • Прокрутите вниз до Сетевая безопасность: уровень аутентификации LAN Manager
  • Измените значение этого параметра на "Отправить только ответ NTLMv2, отказаться от LM и NTLM"

Конечно, есть множество других параметров безопасности, которые вы можете настроить вокруг этого, чтобы принудительно использовать только самые сложные соединения, хотя из того, что я видел, в Windows 10 уже были определены хорошие значения для большинства из них.