Spoločnosť Microsoft obsahuje protokol NTML ^(NTML ) alebo  NT LAN Manager Protocol vo Windows NT na účely základnej autentifikácie – a pokúsila sa zvýšiť jeho bezpečnosť zavedením autentifikácie Kerberos^{(Kerberos authentication)} . V doménových sieťach Windows^{(Windows Domain Networks)} sa však stále používa protokol NTML^{(NTML Protocol)} . V tomto článku sa pozrieme na to, ako zakázať overovanie NTML^{(NTML Authentication)} v doméne Windows^{(Windows Domain)} .

Zakázať overovanie NTML^{(NTML Authentication)} v doméne Windows^{(Windows Domain)}

Existuje viacero dôvodov, prečo možno budete chcieť vypnúť overovanie NTML^{(NTML Authentication)} v doméne Windows^{(Windows Domain)} . Niektoré z najbežnejších dôvodov sú:

1. NTML nie je bezpečný a ponúka slabé šifrovanie.
2. V prípade NTML bude hash vášho hesla uložený v službe LSA^{(LSA Service)} . Útočník ho môže ľahko extrahovať.
3. Je zraniteľný voči  útokom Data Interception^{(Data Interception attacks)} , keďže medzi klientom a serverom chýba vzájomná autentifikácia.

Keď poznáte dôvody na zakázanie overovania NTML^{(NTML Authentication)} , pozrime sa na dôvody, prečo ho deaktivovať.

Toto sú spôsoby, ktorými zakážeme autentifikáciu NTML^{(NTML Authentication)} v doméne Windows^{(Windows Domain)} .

1. Pomocou editora miestnej politiky skupiny
2. Pomocou editora databázy Registry

Povedzme si o nich podrobne.

1] Editorom zásad skupiny

Pred zakázaním NTML sa musíme uistiť, že nepoužívate jeho najviac nechránený protokol, napr. NTMLv1 alebo NTML verzia 1^{(NTML Version 1)} . Vaša doména sa tak môže stať zraniteľnou voči útočníkom. Keď s tým skončíte, postupujte podľa nasledujúcej metódy na zakázanie overovania NTML^{(NTML Authentication)} v doméne Windows^{(Windows Domain)} pomocou Editora zásad skupiny^{(Group Policy Editor)} .

Ak to chcete urobiť, otvorte Editor miestnych zásad skupiny ^{(Local Group Policy Editor )} z ponuky Štart^(Start) . Prejdite na nasledujúce miesto.

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

Teraz dvakrát kliknite na  Zabezpečenie siete: Úroveň overenia LAN Manager. ^{(Network Security: LAN Manager authentication level. )}Vyberte  možnosť Odoslať iba odpoveď NTMLv2. Odmietnuť LM a NTML ^{(Sent NTMLv2 response only. Refuse LM & NTML )} na karte „Nastavenia lokálneho zabezpečenia“.

Kliknite  na Apply > Ok  a overenie NTML bude vo vašej doméne zakázané.

2] Editorom databázy Registry

Ak nemáte Editor zásad skupiny^{(Group Policy Editor)} , môžete NTML zakázať v Editore databázy Registry^{(Registry Editor)} . Môžete to ľahko urobiť pomocou niekoľkých jednoduchých riešení.

Spustite  Editor databázy Registry ^{(Registry Editor )} z ponuky Štart^{(Start Menu)} a prejdite na nasledujúce miesto.

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lsa

Teraz kliknite pravým tlačidlom myši na  Lsa  a vyberte  New > DWORD (32-bit) Value. Pomenujte ho „ LmCompatibilityLevel “ a nastavte  hodnotu ^{(Value data )} Údajov na  hodnotu 5.  5, pretože zodpovedá „ Odoslaná iba odpoveď NTMLv2. Odmietnuť LM a NTML“.^{(Sent NTMLv2 response only. Refuse LM & NTML”.)}

Týmto spôsobom budete môcť zakázať NTML pomocou Editora databázy Registry^{(Registry Editor)} .

Prečítajte si ďalej: ^{(Read Next: )}Prečo a ako zakázať SMBI v systéme Windows 10

How to Disable NTLM Authentication in Windows Domain

Microsoft includes NTML or NT LAN Manager Protocol in Windows NT for basic authentication purposes – and has tried enhancing its security by introducing Kerberos authentication. However, NTML Protocol is still used in Windows Domain Networks. In this article, we are going to see how to disable NTML Authentication in Windows Domain.

Disable NTML Authentication in Windows Domain

There can be multiple reasons why you may want to disable NTML Authentication in Windows Domain. Some of the most common reasons are:

1. NTML is not secure and offers weak encryption.
2. In the case of NTML, your password hash will be stored in LSA Service. It can be easily extracted by an attacker.
3. It is vulnerable to Data Interception attacks as there is a lack of mutual authentication between the client and the server.

After knowing the reasons to disable NTML Authentication, let’s see the reasons to disable it.

These are the ways by which we are going to disable NTML Authentication in Windows Domain.

1. By Local Group Policy Editor
2. By Registry Editor

Let us talk about them in detail.

1] By Group Policy Editor

Before disabling NTML, we need to make sure that you are not using its most unprotected protocol i.e; NTMLv1 or NTML Version 1. This can make your domain vulnerable to attackers. Once you are done with that, follow the following method to disable NTML Authentication in Windows Domain by Group Policy Editor.

To do that, open Local Group Policy Editor from the Start menu. Go to the following location.

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

Now, double-click on Network Security: LAN Manager authentication level. Select Sent NTMLv2 response only. Refuse LM & NTML from the “Local Security Settings” tab.

Click Apply > Ok and NTML authentication will be disabled on your domain.

2] By Registry Editor

If you don’t have Group Policy Editor, you can disable NTML from the Registry Editor. You can easily do that, with the help of some simple solutions.

Launch Registry Editor from the Start Menu and navigate to the following location.

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Lsa

Now, right-click on Lsa and select New > DWORD (32-bit) Value. Name it “LmCompatibilityLevel” and set Value data to 5. 5 because it corresponds to “Sent NTMLv2 response only. Refuse LM & NTML”.

This way you will be able to disable NTML by Registry Editor.

Read Next: Why and How to disable SMBI on Windows 10

Related posts

• Ako zmeniť úroveň overenia LAN Manager v systéme Windows 11/10

• Ako používať Network Sniffer Tool PktMon.exe v systéme Windows 10

• Povoľte sieťové pripojenia v modernom pohotovostnom režime v systéme Windows 11/10

• Povoľte alebo zakážte adaptér Wi-Fi a Ethernet v systéme Windows 11

• Ako priradiť sieťovú jednotku alebo pridať jednotku FTP v systéme Windows 11/10

• Čo je brána firewall a ochrana siete v systéme Windows 10 a ako túto časť skryť

• Bezplatné bezdrôtové sieťové nástroje pre Windows 10

• Ako premenovať alebo zmeniť názov aktívneho sieťového profilu v systéme Windows 11/10

• V systéme Windows 10 chýba sieťový adaptér

• Ako pridať nový profil siete Wi-Fi v systéme Windows 10

• Zisťovanie siete je vypnuté a nezapne sa v systéme Windows 11/10

• Vo Windowse 11/10 chýba možnosť zmeniť sieť z verejnej na súkromnú

• Ako vytvoriť správu sieťového adaptéra Wi-Fi v systéme Windows 10

• Ako opraviť chybu DHCP Lookup Failed v systéme Windows a Chromebookoch

• Zálohovanie a obnovenie profilov WiFi alebo bezdrôtovej siete v systéme Windows 10

• Nevidím iné počítače v mojej sieti v systéme Windows 11/10

• Opravte Ping Spikes vo WiFi alebo Ethernete v systéme Windows 11/10

• Systém Windows nemôže získať nastavenia siete zo smerovača v systéme Windows 11/10

• Advanced IP Scanner, bezplatný IP skener pre Windows 10

• Nie je možné mapovať sieťovú jednotku v systéme Windows 11/10