0 votos

Autenticación NTLM y equipos no unidos a un dominio que acceden a recursos compartidos en un dominio

Tengo un equipo Win 10 no unido a dominio que accede a recursos compartidos de un servidor Win 2016 unido a dominio. En la primera conexión con uno de estos recursos compartidos, el cliente Win 10 es desafiado y proporciono credenciales de dominio. Todo funciona como se espera.

Si lo he entendido bien, una conexión en este escenario utilizará NTLM en lugar de un protocolo más seguro como Kerberos. ¿Es correcta esta suposición? Tengo un caso de uso válido para que este equipo no esté unido al dominio, pero me gustaría evitar el uso de NTLM debido a herramientas de hacking como Mimikatz. ¿Existe alguna práctica recomendada para garantizar que los equipos no unidos a un dominio puedan acceder de forma segura a los recursos compartidos de un dominio?

1voto

Wiseaction Puntos 9

Sí, ese es el caso, aunque hay medidas razonables que puede tomar para hacer la autenticación NTLM ...menos arriesgada. (Pero no libre de riesgo).

Utilice contraseñas largas

Las contraseñas NTLM siguen siendo digeridas utilizando un esquema hash relativamente débil, siendo las contraseñas de 8 caracteres razonablemente descifrables en aproximadamente 2-3 horas.( Fuente 1 Fuente 2 ) El consejo tradicional era utilizar contraseñas de al menos 14 caracteres, aunque eso ya no es válido porque desde Windows 2000 las contraseñas ya no se digieren por cada secuencia de 7 caracteres, por lo que esencialmente la longitud de la contraseña tiene ahora ventajas lineales. ( Fuente Sin embargo, 14 no es una longitud excesiva para empezar.

Imponer el uso de NTLM versión 2

Puedes usar Objetos de Política de Grupo en tu dominio para imponer esto en los miembros del dominio si aún no lo has hecho, aunque en tu ordenador no-dominio puedes usar la Política de Seguridad Local para establecer la misma configuración. Querrás la opción "Enviar sólo respuesta NTLMv2, rechazar LM & NTLM". Dicho esto, cuando los dos ordenadores hablen, si sólo uno de ellos (por ejemplo, tu ordenador sin dominio) rechaza LM y NTLMv1, el otro ordenador se verá obligado a utilizar NTLMv2 de todos modos, por lo que puedes aplicar con seguridad este cambio sólo a tu ordenador sin dominio. Esto sólo fallará si los ordenadores del dominio están configurados para no soportar NTLMv2, pero eso es una tontería.

En tu ordenador sin dominio puedes hacerlo de la siguiente manera:

  • Abrir Herramientas administrativas a través del menú de inicio o del panel de control
  • Abrir Política local de seguridad
  • Vaya a Políticas locales entonces Opciones de seguridad
  • Desplácese hasta Seguridad de la red: Nivel de autenticación de LAN Manager
  • Cambia el valor de este ajuste a " Enviar sólo respuesta NTLMv2, rechazar LM y NTLM "

Hay, por supuesto, un montón de otras opciones de seguridad que se pueden configurar alrededor de esta para imponer el uso de sólo las conexiones más difíciles, aunque por lo que he visto Windows 10 ya tenía buenos valores definidos para la mayoría de ellos.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

X