时间戳

首页 > 解决方案 > 如何防止 NTLM 登录

windows-server-2012 - 如何防止 NTLM 登录

问题描述

我已经在 windows server 2016 上继续登录请求。每次它请求不同的 IP 地址时,以及我们确定没有用户的国家,因为我们在一个国家只有一个办公室只有 10 个用户,我们确定都在一国。我知道我们的服务器应该只有一个国家的特定 IP 地址,但为什么下面用不同国家的 IP 记录我们得到

我们试图阻止这种情况。

为什么或登录下方是什么?

如果我们在下面阻止,我们仍然可以访问 RDP 上的服务器吗?我们仍然需要 RDP...

在事件查看器服务器日志中。

An account failed to log on.

Subject:
Security ID:        NULL SID
Account Name:       -
Account Domain:     -
Logon ID:       0x0

Logon Type:         3

 Account For Which Logon Failed:
  Security ID:      NULL SID
    Account Name:       Versand
    Account Domain:     

 Failure Information:
    Failure Reason:     Unknown user name or bad password.
    Status:         0xC000006D
    Sub Status:     0xC0000064

   Process Information:
    Caller Process ID:  0x0
    Caller Process Name:    -

 Network Information:
    Workstation Name:   workstation
    Source Network Address: xxx.x.x.x.x
    Source Port:        0

  Detailed Authentication Information:
    Logon Process:      NtLmSsp 
      Authentication Package:   NTLM
        Transited Services: -
        Package Name (NTLM only):   -
       Key Length:      0

标签: windows-server-2012windows-server-2016windows-security

解决方案

NTLM只是Windows域网络上的身份验证协议,相比之下Kerberos它仍然被广泛使用,它是微软发布的较新的协议。禁用NTLM将意味着您阻止任何用户使用该协议进行连接。一种选择是禁用NTLM和使用Kerberos,但这意味着您的所有用户也必须配置为使用Kerberos

查看此页面以获取更多信息:http ://woshub.com/disable-ntlm-authentication-windows/

如果您知道所有 10 个用户的 IP 地址,我建议您限制可以通过 RDP 连接的 IP 地址,而不是这样做。

打开Windows Firewall with Advanced Security,单击Inbound Rules并找到 RDP 规则并右键单击,然后Properties单击Scope选项卡。在该Remote IP Addresses部分中,您应该能够手动添加应该能够连接的用户的 IP 地址。任何不在范围内的 IP 地址都将无法连接。

参考: https: //support.managed.com/kb/a2499/restrict-rdp-access-by-ip-address.aspx

此外,您指出登录尝试来自不同的国家,因此您无法消除用户使用 VPN 的可能性。

推荐阅读