当您尝试访问包含在SMB服务器上的文件的网页时,Windows会自动将用户名和NTLM凭据发送以进行身份验证。尽管凭据未在清晰文本中发送,但攻击者可以破解它们以恢复您的Windows密码。为避免泄露帐户凭据,您可以阻止NTLM(仅允许Kerberos),因此Windows将不再将您的NTLM凭据发送给远程服务器。
方法1:使用组策略限制传出的NTLM流量
- 打开本地组策略编辑器并导航至:
Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options。在右窗格上,双击“网络安全:限制NTLM:传出的NTLM流量到远程服务器“ 政策。
- 选择否认一切从下拉载荷列表中,单击申请进而好的。
阅读更多:如何删除远程桌面连接的保存凭据
- 访问共享时,重新启动计算机和Windows将不再自动将NTLM凭据发送到远程服务器。
- 如果您需要在白名单中添加一些远程服务器,请双击在“网络安全:限制NTLM:添加NTLM身份验证的远程服务器异常“ 政策。
- 将远程服务器添加到异常列表中,单击申请进而好的。
方法2:使用注册表限制传出的NTLM流量
- 开放注册表编辑并浏览到:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0。右键单击MSV1_0钥匙,选择新的- >dword(32位)值。
- 命名新创建的dword限制了intlmtraffic,然后双击它以将值数据设置为2,然后单击“确定”。
- 如果要添加您希望为白名单的某些服务器,请使用类似的方法创建一个名为Clientallowedntlmservers。双击它,并添加允许将NTLM凭据发送到的远程服务器。
- 重新启动计算机以应用更改。您可以继续访问远程服务器上的文件,该服务器在停止Windows可能通过网络上发送NTLM凭据的同时。