Поделиться через

Блокировка подключений NTLM в SMB

  • Статья

Клиент SMB теперь поддерживает блокировку проверки подлинности NTLM для удаленных исходящих подключений. Блокировка проверки подлинности NTLM позволяет злоумышленникам обмануть клиентов отправлять запросы NTLM на вредоносные серверы, противодействовать принудительному подбору, взломам и атакам хэша. Блокировка NTLM также необходима для переключения протоколов проверки подлинности организации на Kerberos, что является более безопасным, чем NTLM, так как он может проверять удостоверения сервера с помощью своей системы билетов. Однако организации также могут включить этот уровень защиты без необходимости полностью отключить NTLM.

Необходимые компоненты

Для блокировки NTLM для клиента SMB требуются следующие предварительные требования:

  • Клиент SMB, работающий в одной из следующих операционных систем.
    • Windows Server 2025 или более поздней версии.
    • Windows 11 версии 24H2 или более поздней версии.
  • Сервер SMB, позволяющий использовать Kerberos.

Совет

Блокировка NTLM — это только возможность клиента SMB. Клиент SMB встроен в операционные системы Windows Server и Windows. Целевой сервер SMB может быть любой операционной системой, где можно использовать PKU2U или kerberos.

Настройка блокировки NTLM клиента SMB

Начиная с Windows Server 2025 и Windows 11 версии 24H2, можно настроить SMB для блокировки NTLM. Чтобы повысить безопасность развертываний, работающих в более ранних версиях Windows, необходимо вручную отключить NTLM, изменив соответствующую групповую политику или выполнив определенную команду в PowerShell.

Чтобы настроить блокировку NTLM, выполните приведенные выше действия.

  1. Откройте Консоль управления групповыми политиками.

  2. В дереве консоли перейдите на рабочую станцию Lanman для>административных шаблонов>конфигурации>компьютера.

  3. Щелкните правой кнопкой мыши блокировку NTLM (LM, NTLM, NTLMv2) и выберите пункт "Изменить".

  4. Щелкните Включено.

Включение исключений для блокировки NTLM

В некоторых случаях может потребоваться разрешить некоторым компьютерам использовать NTLM вместо глобальной блокировки. Например, если сервер SMB, к которому вы пытаетесь подключиться, не присоединяется к домену Active Directory.

Чтобы включить список исключений для блокировки NTLM, выполните указанные ниже действия.

  1. В дереве консоли редактора групповой политики перейдите на рабочую станцию Lanman для>административных шаблонов>конфигурации>компьютера.

  2. Щелкните правой кнопкой мыши список исключений сервера NTLM и выберите "Изменить".

  3. Щелкните Включено.

  4. Введите IP-адреса, имена NetBIOS и полные доменные имена (FQDN) удаленных компьютеров, которым требуется разрешить проверку подлинности NTLM.

Блокировать NTLM при сопоставлении дисков SMB

При сопоставлении новых дисков SMB можно также блокировать NTLM, выполнив следующие команды.

Выполните следующую команду, чтобы указать блокировку NTLM при сопоставлении диска с NET USE:

NET USE \\server\share /BLOCKNTLM

Выполните следующую команду, чтобы указать блокировку NTLM при сопоставлении диска SMB:

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

Связанный контент