Mediul de domeniu Windows 2012r2 și autentificări NTLM

Aș dezactiva toate NTLM din mediul meu de domeniu, dar înainte de asta am activat auditarea NTLM pe controlerul de domeniu și văd unele evenimente 8004 cu utilizatorii și computerele mele locale în descrierea acestor evenimente. Toți clienții mei au Windows 10 instalat, deci de ce este încă folosit NTLM în mediul meu, deoarece ar trebui să fie folosit Kerberos ca implicit?

Citiți aici articolul lui Steve Syfus pe blog - nu mai trebuie spus nimic în această privință. El acoperă tot ce trebuie să știi despre motivul pentru care se întâmplă ceva și calea de urmat.

https://syfuhs.net/killing-ntlm-is-hard

Selecția de interese:

Și de ce lucrurile folosesc NTLM când nu ar trebui? Ei bine, pentru cei doi proprietățile pe care tocmai le-am descris.

1. Dacă un client nu are linie de vedere către un DC, nu poate face Kerberos, așa că revine la NTLM.

2. Autentificarea serverului forțează un downgrade la NTLM.

Mai departe, la al doilea: NTLM nu face autentificarea serverului, deci orice aplicație sau proces nu solicită sau nu gestionează autentificarea serverului, atunci kerberos nu poate funcționa și apoi revine la autentificarea NTLM.

Pe scurt, pui o întrebare la care doar tu poți răspunde. Trebuie să investigați fiecare dintre intrările din jurnal și să aflați de ce kerberos nu a funcționat în fiecare incident, apoi vă puteți da seama cum să o remediați sau să trăiți cu el. Dacă le puteți remedia pe toate, atunci puteți dezactiva NTLM.

Pentru a găsi aplicația care are nevoie de NTLM, puteți adăuga un cont de testare la grupul de domenii „Utilizatori protejați” și puteți să vă conectați cu acesta și să testați toate aplicațiile una câte una. Membrii din „Utilizatori protejați” nu au voie să folosească NTLM, așa că pentru aceștia, autentificarea aplicației ar trebui să eșueze imediat când numai NTLM este posibil.