我有一台带有 Active Directory 的 Windows 2016 服务器,它也是域控制器,并且显然 NTLM 身份验证已禁用。我如何启用 NTLM 身份验证?
答案1
NT LAN 管理器(包括 LM、NTLM v1、v2 和 NTLM2)在 Server 2016 中默认启用并处于活动状态,因为它仍用于 Server 2016 中的本地登录(在非域控制器上)和工作组登录身份验证。
您可以通过组策略限制和/或禁用 NTLM 身份验证。它位于计算机配置\策略\Windows 设置\安全设置\本地策略\安全选项中,选项列为“网络安全:限制 NTLM:”。有七个选项,相当一目了然。
我强烈建议不要依赖 NTLM 安全,因为即使是 NTLM2 也很脆弱,而且相对容易被破解。如果可能的话,应该在现代 Active Directory 环境中的服务器上禁用它。
更多细节:https://docs.microsoft.com/en-us/windows-server/security/kerberos/ntlm-overview