Cómo restringir NTLM: tráfico NTLM entrante

La autenticación NTLM es una familia de protocolos de autenticación que se incluyen en Windows. Los protocolos de autenticación NTLM autentican a usuarios y equipos en función de un mecanismo de desafío/respuesta que le demuestra a un servidor o a un controlador de dominio que un usuario conoce la contraseña asociada con una cuenta.

Aplicaciones actuales del NTLM

La autenticación NTLM aún se admite y se debe usar para la autenticación de Windows con sistemas configurados como miembros de un grupo de trabajo. La autenticación NTLM también se usa para la autenticación de inicio de sesión local en los controladores de dominio.

La autenticación Kerberos versión 5 es el método de autenticación preferido para entornos de Active Directory, pero puede que una aplicación de Microsoft o que no es de Microsoft siga usando NTLM.

Bloquear el protocolo NTLM

En algunas ocasiones es necesario bloquear dicho acceso, con lo que aplicaremos los siguientes pasos

INICIO / Todos los Programas / Herramientas Administrativas / Directiva de Seguridad Local

Una vez dentro ir a la siguiente rama

Configuración de Seguridad / Directivas Locales / Opciones de Seguridad / Seguridad de Red: Restringir NTLM: tráfico entrante NTLM

NOTA: empieza desde abajo, ya que esta al final de opciones de seguridad

Esta configuración de directiva permite denegar o permitir el tráfico NTLM entrante.

Si selecciona “Permitir todo” o no establece esta configuración de directiva, el servidor permitirá todas las solicitudes de autenticación NTLM.

Si selecciona “Denegar todas las cuentas de dominio”, el servidor denegará las solicitudes de autenticación NTLM para el inicio de sesión en el dominio y mostrará un mensaje de error de NTLM bloqueado pero permitirá el inicio de sesión en una cuenta local.

Si selecciona “Denegar todas las cuentas”, el servidor denegará las solicitudes de autenticación NTLM del tráfico entrante y mostrará un mensaje de error de NTLM bloqueado.

Esta directiva se admite en Windows 7, Windows Server 2008, Windows Server 2012.

Nota: los eventos de bloqueo se registran en este equipo en el registro “Operativo” que se encuentra en Registros de aplicaciones y servicios/Microsoft/Windows/NTLM.