默认禁用 NTLM

Source: Dev.to

NTLM 简介

NTLM（NT LAN Manager）是一套用于 Microsoft 环境中身份验证和会话安全的安全协议。虽然它提供了一定程度的安全性，但 NTLM 已被更现代、更安全的身份验证协议（如 Kerberos）大幅取代。禁用 NTLM 可以通过减少攻击面显著提升网络的安全姿态。

问题背景

NTLM 是一种已知存在漏洞的老旧协议，容易成为攻击者的目标。默认情况下，许多系统仍然启用 NTLM，如果管理不当会导致安全风险。默认禁用 NTLM 是提升安全性并符合现代安全标准的推荐最佳实践。

禁用 NTLM 的分步指南

禁用 NTLM 需要同时配置客户端和服务器设置。以下是具体操作方法：

对 Windows 客户端

在 Windows 客户端上，可以通过本地组策略编辑器或注册表编辑来禁用 NTLM。

使用组策略编辑器

1. 打开本地组策略编辑器 (gpedit.msc)。
2. 依次展开 Computer Configuration → Windows Settings → Security Settings → Local Policies → Security Options。
3. 找到名为 Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers 的策略。
4. 启用该策略并将选项设置为 Deny All。

使用注册表编辑

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RestrictSendingNTLMTraffic /t REG_DWORD /d 2 /f

对 Linux 客户端

在 Linux 系统（尤其是已集成 Active Directory 的系统）上，可能需要将身份验证设置配置为优先使用 Kerberos 而非 NTLM。这通常可以通过调整 sssd 配置或 PAM 设置来实现。

示例 sssd.conf 配置

[sssd]
config_file_version = 2
services = nss, pam
domains = yourdomain.com

[domain/yourdomain.com]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ldap_id_mapping = False
use_fully_qualified_names = True
fallback_homedir = /home/%u
default_shell = /bin/bash
ldap_sasl_mech = GSSAPI
ldap_sasl_authid = host/yourhost@YOURDOMAIN.COM

实用技巧

• 监控环境：在进行更改之前，先监控环境以了解哪些应用或服务依赖 NTLM。这有助于评估禁用 NTLM 的影响。
• 彻底测试：完成配置更改后，务必对所有受影响的系统和应用进行全面测试，确保不会出现中断。
• 保持文档：记录所做的更改及其背后的原因。这对未来的审计和故障排除至关重要。

结论

默认禁用 NTLM 是提升网络安全的关键步骤。遵循上述步骤并结合提供的实用技巧，您可以有效降低使用过时身份验证协议所带来的风险。请记住，安全是一个持续的过程，保持对最新最佳实践的关注是保护环境的关键。