AD_Active_Directory

Disabilitare NTLM e forzare l’uso di Kerberos.

12 Febbraio 2025
Luca Angeli
()

Disabilitare NTLM e forzare l’uso di Kerberos su Windows è una misura di sicurezza avanzata per prevenire attacchi di tipo Pass-the-Hash e migliorare la protezione delle credenziali. Ecco i passaggi per farlo:

1. Identificare l’uso di NTLM nel dominio

Prima di disabilitare NTLM, verifica se ci sono ancora servizi o applicazioni che lo usano.

Metodo 1: Monitorare gli eventi di autenticazione NTLM

Abilita la registrazione degli eventi NTLM nei criteri di gruppo:

  1. Apri Gpedit.msc (Premi Win + R, digita gpedit.msc e premi Invio).
  2. Vai a:
    • Configurazione computerCriteri di WindowsImpostazioni di sicurezzaCriteri avanzati di autenticazione di WindowsRegistrazione e auditing NTLM
  3. Attiva il logging degli eventi NTLM per monitorare quali dispositivi lo utilizzano.

Puoi anche monitorare gli eventi NTLM nei Registri Eventi:

  • Apri Visualizzatore eventi (eventvwr.msc)
  • Vai su Registri di WindowsSicurezza
  • Filtra per gli ID 4624, 4648 e 4776 per identificare autenticazioni NTLM.

2. Disabilitare NTLM tramite Criteri di gruppo

Una volta verificato che NTLM non è più necessario, puoi disabilitarlo.

  1. Apri Gpedit.msc
  2. Vai a:
    • Configurazione computerCriteri di WindowsImpostazioni di sicurezzaCriteri avanzati di autenticazione di WindowsSicurezza NTLM
  3. Apri Rifiuta tutto il traffico NTLM interno
  4. Seleziona Attivato
  5. Riavvia il PC o il server per applicare le modifiche.

3. Forzare l’uso di Kerberos

Kerberos è il protocollo di autenticazione predefinito in ambienti Windows con Active Directory. Per forzare l’uso di Kerberos:

Metodo 1: Configurare Active Directory

Assicurati che tutti gli account e i servizi siano configurati per l’autenticazione Kerberos:

  • Usa SPN (Service Principal Name) per mappare i servizi agli account corretti:powershellCopiaModificasetspn -L NomeComputer Se necessario, registra un nuovo SPN:powershellCopiaModificasetspn -S HTTP/NomeComputer dominio\account

Metodo 2: Configurare i Criteri di autenticazione di Windows

  1. Apri Gpedit.msc
  2. Vai a:
    • Configurazione computerCriteri di WindowsImpostazioni di sicurezzaCriteri avanzati di autenticazione di WindowsCriteri di autenticazione
  3. Assicurati che sia abilitato Richiedi autenticazione Kerberos per tutti i sistemi.

4. Verificare che NTLM sia disabilitato

Dopo aver applicato le modifiche, monitora gli eventi per confermare che NTLM non venga più utilizzato.

  • Usa il comando nltest per verificare il metodo di autenticazione:powershellCopiaModificanltest /logon_query Se tutto è configurato correttamente, vedrai Kerberos come metodo di autenticazione.

⚠️ Attenzione

  • Prima di disabilitare NTLM completamente, verifica che nessuna applicazione critica lo richieda ancora.
  • Se ci sono problemi di autenticazione dopo la disattivazione, potresti dover riabilitare NTLM temporaneamente per eseguire debug e aggiornare i sistemi.

Con queste configurazioni, Kerberos diventerà il protocollo predefinito e NTLM sarà bloccato, riducendo il rischio di attacchi basati su credenziali.

/ 5
Grazie per aver votato!

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Mappa del Sito - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario