我想完全禁用 NTLM。我不想因为传递哈希攻击而将密码哈希存储在内存中(人们没有 SeDebugPrivilege,但无论如何 NTLM 都不好)
但人们在家里通过 RDP 连接到工作区。我可以使用 VPN + RD 网关,但人们仍然会使用密码和 NTLM 进行 RDP。
有什么办法可以解决这个问题吗?
如果没有,我是否可以以某种方式配置 RD 网关以代表用户获取 Kerberos 票证,以便他们仅将 NTLM 用于 RD 网关,而不用于其他资源?
换句话说,当我有远程用户时,如何消除 NTLM 或减少其使用次数?