Cómo deshabilitar la autenticación NTLM en un dominio de Windows

Cómo desactivar NTLMv1 y v2 en Active Directory y usar Kerberos completo

Deshabilitar los protocolos NTLM puede parecer complicado, pero si buscas reforzar la seguridad, es imprescindible. Aun así, es una cuestión de equilibrio, sobre todo porque muchos sistemas antiguos, o incluso algunos dispositivos, se aferran obstinadamente a NTLM. Además, Windows suele dificultar un poco más la desactivación total de NTLM, por lo que a veces es un proceso de varios pasos. Esta guía te dará una idea clara de cómo identificar qué usa NTLM, cómo configurar políticas para migrar todo a Kerberos y qué debes tener en cuenta. Es de esperar que, una vez que deshabilites NTLM, algunos componentes antiguos dejen de funcionar; pero idealmente, solo se necesitan ajustes de configuración para que la transición sea fluida. En algunas configuraciones, puedes deshabilitar NTLMv1 por completo, luego restringir NTLMv2 y, finalmente, forzar que todo use Kerberos. Ten en cuenta que algunas aplicaciones o dispositivos pueden necesitar actualizaciones o excepciones especiales si no se adaptan a Kerberos. En última instancia, todo este proceso debería crear un entorno más seguro, especialmente si conoce las vulnerabilidades de NTLM desde hace tiempo.

Cómo solucionar el uso de NTLM en su dominio

Audite NTLM y descubra quién todavía lo usa

Primero, antes de cambiar todos los interruptores, hay que ver qué sigue usando NTLM. Claro que algunas impresoras antiguas, escáneres de red antiguos o ciertos dispositivos NAS probablemente envíen respuestas NTLM sin darse cuenta. El objetivo: identificarlos, actualizarlos o reconfigurarlos. Para iniciar la auditoría, deberá habilitar el registro NTLM en todos los equipos del dominio mediante una GPO. Vaya a la sección Directiva predeterminada de controladores de dominio y luego a: Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad. Busque Seguridad de red: Restringir NTLM: Auditar la autenticación NTLM en este dominio y configúrelo en Habilitar la auditoría de todo el tráfico NTLM. Esto enviará los eventos al Visor de eventos en Cambiar a Kerberos y bloquear NTLM Una vez que sepa quién sigue usando NTLM, el siguiente paso es forzar que todo pase por Kerberos, empezando por bloquear NTLMv1 y luego NTLMv2. Querrá configurar las políticas de contraseñas y las configuraciones de GPO como:Abra** gpmc.msc, luego edite su Política predeterminada de controladores de dominio. En: Configuración del equipo > Políticas > Configuración de Windows > Configuración de seguridad > Políticas locales > Opciones de seguridad Busque y configure: Seguridad de red: nivel de autenticación de LAN Manager Aquí, verá opciones como: – Enviar respuestas LM y NTLM – Enviar solo respuesta NTLMv2 – Enviar solo respuesta NTLMv2. Rechazar LM – Enviar solo respuesta NTLMv2. Rechazar LM y NTLM Establezca esto en “Enviar solo respuesta NTLMv2. Rechazar LM y NTLM” (opción 6).Esto básicamente indica a todos sus equipos Windows que *solo* usen el método NTLMv2 más seguro y rechacen todos los protocolos antiguos y menos fiables. Si desea un control aún más estricto, puede modificar el registro: escriba HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa y cree un DWORD llamado `LmCompatibilityLevel`, estableciéndolo en 5 para la opción más segura: “Enviar solo respuesta NTLMv2. Rechazar LM y NTLM”. Además, asegúrese de que políticas como “Seguridad de red: No almacenar el valor hash de LAN Manager en el próximo cambio de contraseña” estén habilitadas para evitar la creación de hashes LM. Si le preocupa que ciertos servidores aún necesiten NTLM, puede agregarlos a una lista de excepciones mediante: Seguridad de red: Restringir NTLM: Agregar excepciones de servidor para la autenticación NTLM en este dominio Ingrese los nombres de servidor o IP donde NTLM aún podría ser necesario, pero el objetivo es minimizar esta lista a solo los esenciales.¿Y si tiene una puerta de enlace de Escritorio remoto? Asegúrese de evitar NTLMv1 allí también, agregando esta clave de registro: bash REG add «HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core» /v EnforceChannelBinding /t REG_DWORD /d 1 /f Finalmente, puede restringir completamente NTLM en su dominio configurando “Seguridad de red: Restringir NTLM: autenticación NTLM en este dominio” en Denegar todo. Pero tenga cuidado: esto podría dañar algunas cosas, especialmente aplicaciones antiguas o ciertos servicios heredados. Siempre pruebe primero.

Bloqueo total y confirmación de que Kerberos funciona

Los miembros del grupo Usuarios protegidos solo se autenticarán mediante Kerberos. Agregar usuarios a este grupo ayuda a verificar que Kerberos esté funcionando correctamente: si siguen funcionando después de desactivar NTLM, entonces misión cumplida. Una vez que las políticas estén en su lugar, supervise sus registros de eventos para los ID de evento 6038 (uso de NTLM detectado) y 4771 (errores de autenticación previa de Kerberos) para detectar cualquier rezagado o configuración incorrecta. A veces, deshabilitar NTLM causa algunos bloqueos de usuarios o inicios de sesión extraños en ciertas máquinas, especialmente si las aplicaciones o máquinas tienen NTLM predeterminado. Esté atento al ID de evento 4776 para reintentos de NTLM, pero también revise `klist sessions` en PowerShell para ver si los tickets de Kerberos se están emitiendo como se espera. Si las cosas comienzan a fallar, probablemente se deba a que alguna aplicación heredada simplemente se niega a usar Kerberos o no tiene configurados los SPN adecuados. Luego se trata de actualizar o reconfigurar esas aplicaciones.

Resumen

Eliminar NTLM por completo es ambicioso, pero representa un gran paso hacia una red más segura. Normalmente, identificar a los infractores, configurar políticas de grupo para que prefieran Kerberos y realizar pruebas exhaustivas lo conseguirá. Tenga en cuenta que, en algunos dispositivos antiguos o aplicaciones especializadas, podría ser necesario implementar algunas excepciones; recuerde que son puntos débiles. Una vez configurado todo, supervise los registros de eventos para asegurarse de que NTLM no vuelva a colarse. La paciencia es clave, especialmente con dispositivos antiguos. Pero si esto salva su dominio de ataques de tipo Pass-the-Hash o robo de credenciales, el esfuerzo merece la pena.

Resumen

• Habilite el registro de auditoría de NTLM para identificar quién todavía usa NTLM
• Establecer políticas de GPO para preferir NTLMv2 y deshabilitar NTLMv1
• Actualice la configuración del registro para un control más estricto
• Agregue casos de excepción solo si es necesario (aplicaciones heredadas)
• Asegúrese de que Kerberos esté funcionando comprobando los tickets (`klist sessions`)
• Supervisar periódicamente los registros de eventos para el uso de NTLM
• Considere las aplicaciones críticas que no se pueden cambiar y establezca excepciones con cuidado

Nota final

Adoptar Kerberos a fondo puede ser complicado, especialmente en entornos diversos, pero es una buena decisión para la seguridad. Simplemente controle quién aún necesita NTLM y no se sorprenda si se incluyen algunas actualizaciones o ajustes de configuración. A veces, el hardware o software heredados son los verdaderos obstáculos; aun así, vale la pena el esfuerzo si la seguridad es importante. Crucemos los dedos para que esto ayude a reforzar las defensas de su dominio sin romperlo todo.