Saltar al contenido

¿Cómo Puedo Eliminar el NTLM Rápido y Fácil?

23 mayo, 2019

NTLM (NT Lan Manager) ha existido durante bastante tiempo y es una fuente de problemas para los defensores de la red, ya que existen varios problemas con esta forma de autenticación. Lo cual aprender a eliminar NTLM se ha convertido en un conocimiento valioso.

Las credenciales NTLM generalmente se almacenan en la memoria y un atacante puede extraerlas fácilmente con una herramienta como Mimikatz y las credenciales también se pueden usar para pasar los ataques de hash.

Las herramientas como el Respondedor pueden recopilar las credenciales de NTLM en la red con solo pretender que la red comparte un usuario que intentó acceder dentro de su red. Entonces, deshacerse de NTLM debería ser una prioridad para muchos, pero ¿por dónde empezar?

 

¿Cómo Eliminar el NTLM?

Con la política de grupo podemos desactivar el NTLM anterior y solo permitir Kerberos, esto se conoce como bloqueo de NTLM. Sin embargo, antes de hacer esto, debe verificar y asegurarse de que tanto Microsoft como las aplicaciones de terceros en su red no requieran la autenticación NTLM antes de continuar.

Las opciones de directiva de grupo para NTLM se encuentran en Configuración del equipo> Políticas> Configuración de Windows> Configuración de seguridad> Políticas locales> Opciones de seguridad.

  1. Haga clic en el botón “Inicio“.
  2. Seleccione la opción de menú “Herramientas administrativas“.
  3. A continuación, haga clic en el elemento de menú “Gestión de directivas de grupo” para abrir la “Consola de administración de directivas de grupo“.
  4. Expanda el nodo “Active Directory”, seguido por el nodo de “dominios”, el nodo del dominio y el nodo de “Controladores de dominio”.
  5. Seleccione la política de “Controladores de dominio por defecto”.
  6. Haga clic en la directiva mencionada y luego elegir la opción de menú “Editar”.
  7. Expanda el nodo “Políticas” en “Configuración del equipo“.
  8. Expanda el nodo “Configuración de Windows”.
  9. Seguido por el nodo “Configuración de seguridad” y el nodo “Directivas locales”.
  10. Seleccione el nodo “Opciones de seguridad”.
  11. Desplazarse por la lista de opciones de directiva para localizar la Seguridad de red:
  • Restringir la autenticación NTLM en este dominio configuración de directiva.
  • Haga doble clic en él para abrir el diálogo “Configuración de directiva de seguridad“.
  • Marque la casilla “Definir esta configuración de directiva”.
  • Seleccione “Denegar para cuentas de dominio a los servidores de dominio“.
  • En esta lista desplegable si desea evitar que los usuarios del dominio de autenticación en los servidores en el dominio mediante NTLM.
  • Seleccione “Denegar para la cuenta de dominio” de la lista desplegable.
  • Si desea evitar que los usuarios del dominio de iniciar la sesión mediante la autenticación NTLM.
  • Seleccione “Denegar para servidores de dominio” si se quiere evitar que los servidores de dominio del uso de NTLM para la autenticación.
  • Seleccione “Denegar todo” para evitar cualquier autenticación NTLM.
  • Haga clic en el botón “OK” para aceptar el cambio.
  • Se le indicará con una advertencia de que la configuración puede afectar la compatibilidad con clientes.
  • Servicios y aplicaciones.
  • Haga clic en el botón ““.
  • Clic en el botón “Cerrar” en la barra de título de la “Editor de administración de directivas de grupo“.
  • Luego haga clic en el botón “Cerrar” en la barra de título de la “Consola de administración de directivas de grupo.”