Bloquear conexões NTLM no SMB

  • Artigo

Agora o cliente SMB dá suporte ao bloqueio da autenticação NTLM para conexões de saída remotas. O bloqueio da autenticação NTLM impede que agentes mal-intencionados enganem os clientes para que enviem solicitações NTLM para servidores mal-intencionados, neutralizando os ataques de força bruta, quebra de senha e pass-the-hash. O bloqueio de NTLM também é necessário para alternar os protocolos de autenticação de uma organização para o Kerberos, que é mais seguro do que o NTLM, pois pode verificar identidades de servidor com sistema de tickets. Porém, as organizações também podem habilitar essa camada de proteção sem precisar desabilitar totalmente o NTLM.

Pré-requisitos

O bloqueio de NTLM para o cliente SMB exige os seguintes pré-requisitos:

  • Um cliente SMB em execução em um dos seguintes sistemas operacionais.
    • Windows Server 2025 ou posterior.
    • Windows 11, versão 24H2 ou posterior.
  • Um servidor SMB que permite usar Kerberos.

Dica

O bloqueio NTLM é somente um recurso de cliente SMB. O cliente SMB é integrado a sistemas operacionais cliente Windows Server e Windows. O servidor SMB de destino pode ser qualquer sistema operacional em que PKU2U ou kerberos podem ser usados.

Configurar o bloqueio NTLM de cliente SMB

A partir do Windows Server 2025 e Windows 11, versão 24H2, você tem a opção de configurar o SMB para bloquear o NTLM. Para melhorar a segurança das implantações que executam versões anteriores do Windows, desabilite o NTLM manualmente, editando a Política de Grupo relevante ou executando um comando específico no PowerShell.

Para configurar bloqueio NTLM:

  1. Abra o Console de Gerenciamento de Diretiva de Grupo.

  2. Na árvore de console, selecione Configuração do Computador>Modelos Administrativos>Rede>Estação de Trabalho Lanman.

  3. Clique com o botão direito do mouse em Bloquear NTLM (LM, NTLM, NTLMv2) e selecione Editar.

  4. Selecione Habilitado.

Habilitar exceções a bloqueio NTLM

Em alguns casos, você pode precisar permitir que determinadas máquinas usem NTLM em vez de bloqueá-lo globalmente. Por exemplo, quando o servidor SMB ao qual você está tentando se conectar não tiver ingressado em um domínio do Active Directory.

Para habilitar uma lista de exceções a bloqueios NTLM:

  1. Na árvore Console do Editor de Política de Grupo, vá para Configuração do Computador>Modelos administrativos>Rede>Estação de trabalho Lanman.

  2. Clique com o botão direito do mouse em Bloquear lista de Exceções do Servidor NTLM e selecione Editar.

  3. Selecione Habilitado.

  4. Digite os endereços IP, nomes NetBIOS e FQDNs (nomes de domínio totalmente qualificados) das máquinas remotas para as quais você quer permitir a autenticação NTLM.

Bloquear NTLM ao mapear as unidades SMB

Você também pode bloquear NTLM ao mapear novas unidades SMB executando os comandos abaixo.

Execute este comando para especificar o bloqueio NTLM ao mapear uma unidade com o NET USE:

NET USE \\server\share /BLOCKNTLM

Execute este comando para especificar o bloqueio NTLM ao mapear uma unidade de SMB:

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

Conteúdo relacionado