![Active Directory:当我们有远程用户(公路战士)时,如何摆脱 NTLM?](https://linux22.com/image/773500/Active%20Directory%EF%BC%9A%E5%BD%93%E6%88%91%E4%BB%AC%E6%9C%89%E8%BF%9C%E7%A8%8B%E7%94%A8%E6%88%B7%EF%BC%88%E5%85%AC%E8%B7%AF%E6%88%98%E5%A3%AB%EF%BC%89%E6%97%B6%EF%BC%8C%E5%A6%82%E4%BD%95%E6%91%86%E8%84%B1%20NTLM%EF%BC%9F.png)
我想完全禁用 NTLM。我不想因为传递哈希攻击而将密码哈希存储在内存中(人们没有 SeDebugPrivilege,但无论如何 NTLM 都不好)
但人们在家里通过 RDP 连接到工作区。我可以使用 VPN + RD 网关,但人们仍然会使用密码和 NTLM 进行 RDP。
有什么办法可以解决这个问题吗?
如果没有,我是否可以以某种方式配置 RD 网关以代表用户获取 Kerberos 票证,以便他们仅将 NTLM 用于 RD 网关,而不用于其他资源?
换句话说,当我有远程用户时,如何消除 NTLM 或减少其使用次数?