共用方式為

封鎖 SMB 上的 NTLM 連線

  • 發行項

SMB 用戶端現在支援封鎖遠端輸出連線的 NTLM 驗證。 封鎖 NTLM 驗證可防止不良行為者欺騙用戶端向惡意伺服器傳送 NTLM 要求,從而抵禦暴力破解、破解和雜湊傳遞攻擊。 也需要 NTLM 封鎖才能將組織的驗證通訊協定切換到 Kerberos ,Kerberos 比 NTLM 更安全,因為它可以使用其票證系統驗證伺服器身分識別。 不過,組織也可以不必完全停用 NTLM 而啟用這一層保護。

必要條件

SMB 用戶端的 NTLM 封鎖需要以下必要條件:

  • 在下列其中一個作業系統上執行的 SMB 用戶端。
    • Windows Server 2025 或更新版本。
    • Windows 11 版本 24H2 或更新版本。
  • 允許使用 Kerberos 的 SMB 伺服器。

提示

NTLM 封鎖只是 SMB 用戶端功能。 SMB 用戶端內建於 Windows Server 和 Windows 用戶端作業系統中。 目的地 SMB 伺服器可以是可使用 PKU2U 或 kerberos 的任何作業系統。

設定 SMB 用戶端 NTLM 封鎖

從 Windows Server 2025 和 Windows 11 版本 24H2 開始,您可以選擇設定 SMB 以封鎖 NTLM。 為了提高執行舊版 Windows 的部署安全性,您必須透過編輯相關群組原則或在 PowerShell 中執行特定命令來手動停用 NTLM。

若要設定 NTLM 封鎖:

  1. 開啟 [群組原則管理主控台]

  2. 在主控台樹狀目錄中,前往電腦設定>管理範本>網路>Lanman 工作站

  3. 用滑鼠右鍵按一下封鎖 NTLM (LM、NTLM、NTLMv2),然後選取編輯

  4. 選取 [啟用]

啟用 NTLM 封鎖的例外狀況

在某些情況下,您可能需要允許某些電腦使用 NTLM,而不是全域封鎖。 例如,當您嘗試連線的 SMB 伺服器未加入 Active Directory 網域時。

若要啟用 NTLM 封鎖的例外狀況清單:

  1. 群組原則編輯器主控台樹狀目錄中,前往電腦設定>管理範本>網路>Lanman 工作站

  2. 用滑鼠右鍵按一下封鎖 NTLM 伺服器例外狀況清單,然後選取編輯

  3. 選取 [啟用]

  4. 輸入要允許 NTLM 驗證的遠端電腦的 IP 位址、NetBIOS 名稱和完整網域名稱 (FQDN)。

對應 SMB 磁碟機時封鎖 NTLM

您也可以執行以下命令,在對應新的 SMB 磁碟機時封鎖NTLM。

執行此命令以在使用 NET USE 對應磁碟機時指定 NTLM 封鎖:

NET USE \\server\share /BLOCKNTLM

執行此命令以在對應 SMB 磁碟機時指定 NTLM 封鎖:

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

相關內容