WindowsドメインでNTLM認証を無効にする方法は？

NTLM （NT LAN Manager）は、Windows NT以降、かなり長い間、基本的なMicrosoft認証プロトコルとして使用されてきました。 MicrosoftはWindows2000でより安全なKerberos認証プロトコルを導入しましたが、NTLM（通常はNTLMv2）は、Windowsドメインネットワークでの認証に依然として広く使用されています。この記事では、NTLMv1およびNTLMv2プロトコルを無効にして、ActiveDirectoryドメインでKerberosの使用を開始する方法を検討します。

メインのNTLMv1 問題：

• 弱い暗号化;
• さまざまなツール（mimikatzなど）を使用して抽出できるパスワードハッシュをLSAサービスのメモリに保存すると、そのハッシュがさらなる攻撃に使用される可能性があります。
• サーバーとクライアントの間に相互認証がないため、データ傍受攻撃やネットワークリソースへの不正アクセスが発生します（レスポンダーなどの一部のツールは、ネットワーク経由で送信されたNTLMデータをキャプチャし、それらを使用してネットワークリソースにアクセスできます）。
• およびその他の脆弱性。

それらのいくつかは、次のバージョン NTLMv2で修正されました これは、より安全な暗号化アルゴリズムを使用し、一般的なNTLM攻撃を防ぐことができます。 NTLMv1およびLM認証プロトコルは、Windows 7 / Windows Server2008R2以降ではデフォルトで無効になっています。

NTLMv2を強制するようにGPOを構成する

ドメインでのNTLMの使用を停止することを検討している場合は、まず、より脆弱なバージョンである NTLMv1を使用していないことを確認する必要があります。 。ネットワークには、NTLMv2（またはKerberos）の代わりにNTLMv1認証を使用しているレガシーデバイスまたはサービスが多数ある場合があります。したがって、完全に無効にする前に、この記事のNTLM認証イベント監査のセクションをお読みください。

小さなオープンソース製品、さまざまなネットワークスキャナーの古いモデル（スキャンを共有ネットワークフォルダーに保存する）、一部のNASデバイス、その他の古いハードウェア、ソフトウェア、およびOSでは、NTLMv1を無効にするときに認証の問題が発生する可能性があります。

まず、ドメイン管理者は、ドメインでの認証にNTLMおよびLMプロトコルを使用できないようにする必要があります。これは、攻撃者が特別な要求を使用してNTLM/LM要求への応答を受信できる場合があるためです。

ドメイン（またはローカル）ポリシーを使用して、優先認証タイプを設定できます。グループポリシー管理エディター（gpmc.msc）を開き、既定のドメインポリシーを編集します。 [GPO]セクションに移動します[コンピューターの構成]->[ポリシー]->[Windowsの設定]->[セキュリティの設定]->[ローカルポリシー]->[セキュリティオプション] ポリシーを見つけますネットワークセキュリティ：LANManager認証レベル 。

ポリシー設定には6つのオプションがあります：

1. LMおよびNTLM応答を送信します;
2. LMおよびNTLM応答の送信–ネゴシエートされた場合はNTLMv2セッションセキュリティを使用します。
3. NTLM応答のみを送信します;
4. NTLMv2応答のみを送信します;
5. NTLMv2応答のみを送信します。 LMを拒否します;
6. NTLMv2応答のみを送信します。 LMとNTLMを拒否します。

NTLM認証を使用するポリシーは、セキュリティが向上した順に示されています。デフォルトでは、Windows7以降のOSはオプションNTLMv2応答のみを送信を使用します 。このオプションが有効になっている場合、クライアントコンピューターはNTLMv2認証を使用しますが、ADドメインコントローラーはLM、NTLM、およびNTLMv2要求を受け入れます。

NTLMv2は、Kerberosプロトコルが機能しなかった場合、一部の操作（たとえば、ドメインに参加しているコンピューターでローカルグループとアカウントを管理する場合）またはワークグループで使用できます。

ポリシー値を最も安全な6オプションに変更できます：「NTLMv2応答のみを送信します。 LMとNTLMを拒否する 」。ドメインコントローラーでこの設定を構成すると、すべてのLMおよびNTLMv1要求が拒否されます。

レジストリを介してNTLMv1を無効にすることもできます。これを行うには、 LmCompatibilityLevelという名前のDWORDパラメーターを作成します。 レジストリキーの値0〜5 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa 。値5は、ポリシーオプション「NTLMv2応答のみを送信する」に対応します。 LMNTLMを拒否する」。

ネットワークセキュリティ：次回のパスワード変更時にLANManagerハッシュ値を保存しないことを確認してください ポリシーは同じGPOセクションで有効になっています。これは、Windows Vista / Windows Server 2008以降、デフォルトで有効になっており、LMハッシュの作成を防ぎます。

このポリシーをドメインコントローラーに適用することを忘れないでください。

NTLMv1を使用していないことを確認した場合は、さらに進んでNTLMv2を無効にしてみてください。 NTLMv2 はより安全な認証プロトコルですが、セキュリティの点でKerberosよりもはるかに遅れています（NTLMv2の脆弱性はNTLMv1よりも少ないですが、データをキャプチャして再利用する可能性があり、サポートされていません）相互認証）。

NTLMを無効にする主なリスクは、NTLM認証を引き続き使用できるレガシーまたは誤って構成されたアプリケーションの潜在的な使用です。この場合、Kerberosに切り替えるには、特別な方法でそれらを更新または構成する必要があります。

NTLM認証監査ログを有効にする方法

ドメインでNTLMを完全に無効にしてKerberosに切り替える前に、NTLM認証を必要とし使用するアプリがドメインに残っていないことを確認してください。

NTLM認証を使用しているアカウントまたはアプリを追跡するには、GPOを使用してすべてのコンピューターで監査ログポリシーを有効にできます。 [コンピューターの構成]->[Windowsの設定]->[セキュリティの設定]->[ローカルポリシー]->[セキュリティオプション]セクションで、[ネットワークセキュリティ：NTLMの制限：このドメインでのNTLM認証の監査]を見つけて有効にします。 ポリシーを設定し、その値をすべて有効にするに設定します。

同様に、ポリシーを有効にしますネットワークセキュリティ：NTLMの制限：着信NTLMトラフィックの監査 その値をドメインアカウントの監査を有効にするに設定します。

これらのポリシーを有効にすると、NTLM認証を使用するイベントがアプリケーションとサービスのログ-> Microsoft-> Windows-> NTLMに表示されます。 イベントビューアのセクション。

各サーバーのイベントを分析したり、中央のWindowsイベントログコレクターに収集したりできます。

ソースMicrosoft-Windows-Security-AuditingからイベントID4624でイベントを検索する必要があります –「アカウントは正常にログオンしました 「。 「詳細な認証情報」の情報に注意してください " セクション。 NTLMがある場合 認証パッケージ内 このユーザーの認証にNTLMプロトコルが使用されている値よりも大きい値です。

パッケージ名（NTLMのみ）の値を確認します 。この行は、認証に使用されたプロトコル（LM、NTLMv1、またはNTLMv2）を示しています。したがって、レガシープロトコルを使用しているすべてのサーバー/アプリケーションを検出する必要があります。

たとえば、すべてのドメインコントローラーですべてのNTLMv1認証イベントを検索するには、次のPowerShellスクリプトを使用できます。

$ADDCs = Get-ADDomainController -filter
$Now = Get-Date
$Yesterday = $Now.AddDays(-1)
$NewOutputFile = "c:\Events\$($Yesterday.ToString('yyyyddMM'))_AD_NTLMv1_events.log"
function GetEvents($DC){
Write-Host "Searching log on " $DC.HostName
$Events = Get-EventLog "Security" -After $Yesterday.Date -Before $Now.Date -ComputerName $DC.HostName -Message "*V1*" -instanceid 4624
foreach($Event in $Events){
Write-Host $DC.HostName $Event.EventID $Event.TimeGenerated
Out-File -FilePath $NewOutputFile -InputObject "$($Event.EventID), $($Event.MachineName), $($Event.TimeGenerated), $($Event.ReplacementStrings),($Event.message)" -Append
}
}
foreach($DC in $ADDCs){GetEvents($DC)}

ドメインでNTLMを使用しているユーザーとアプリケーションを見つけたら、それらをKerberosを使用するように切り替えてみてください（おそらくSPNを使用します）。一部のアプリケーションは、Kerberos認証を使用するように少し再構成する必要があります（IISでのKerberos認証、Kerberos認証用にさまざまなブラウザーを構成する方法の記事を参照してください）。私自身の経験から、大規模な商用製品でもKerberosではなくNTLMを使用していることがわかります。一部の製品では、更新または構成の変更が必要です。 NTLM認証を使用しているアプリを検出することがすべてです。これで、このソフトウェアとデバイスを識別するための適切な方法が得られました。

Kerberos認証には、サーバーのIPアドレスではなくDNS名を使用する必要があります。リソースへの接続時にIPアドレスを指定すると、NTLM認証が使用されます。

Kerberosを使用できないアプリは、例外に追加される場合があります。これにより、ドメインレベルで無効になっている場合でも、NTLM認証を使用できるようになります。これを行うには、ネットワークセキュリティ：NTLMの制限：このドメインでのNTLM認証のサーバー例外を追加します ポリシーが使用されます。 NTLM認証を使用できるサーバーの名前も例外のリストに追加します。理想的には、この例外リストは空である必要があります。ワイルドカードを使用できます* 。

Active DirectoryドメインでNTLMを完全に制限するにはどうすればよいですか？

ドメイン内のさまざまなアプリでNTLMを使用しない認証がどのように機能するかを確認するには、「保護されたユーザー」ドメイングループにユーザーアカウントを追加します（Windows Server 2012 R2以降で使用できます）。このセキュリティグループのメンバーは、Kerberosを使用してのみ認証できます（NTLM、ダイジェスト認証、またはCredSSPは許可されていません）。したがって、Kerberosユーザー認証がさまざまなアプリで正しく機能するかどうかを確認できます。

次に、ネットワークセキュリティ：NTLMの制限：このドメインでのNTLM認証を使用して、ActiveDirectoryドメインでNTLMを完全に無効にすることができます。 ポリシー。

ポリシーには5つのオプションがあります：

• 無効にする： ポリシーが無効になっています（ドメインでNTLM認証が許可されています）。
• ドメインサーバーへのドメインアカウントの拒否： ドメインコントローラは、ドメインアカウントの下にあるすべてのサーバーに対するNTLM認証の試行を拒否し、「NTLMはブロックされています」というエラーが表示されます。
• ドメインアカウントの拒否： ドメインコントローラーは、すべてのドメインアカウントに対するNTLM認証の試行を防ぎ、「NTLMはブロックされています」というエラーが表示されます。
• ドメインサーバーの拒否： サーバー名が「ネットワークセキュリティ：NTLMの制限：このドメインでのNTLM認証のサーバー例外の追加」ポリシーの例外リストにない限り、NTLM認証要求はすべてのサーバーで禁止されています。
• すべて拒否： ドメインコントローラは、すべてのドメインサーバーとアカウントに対するすべてのNTLM要求をブロックします。

Active Directoryのセキュリティをさらに向上させるために、次の記事を読むことをお勧めします：Mimikatzスタイルの攻撃に対する緩和策、特権管理者アカウントの保護、TCP/IPを介したLLMNRおよびNetBIOSを無効にする方法。