Remember to maintain security and privacy. Do not share sensitive information. Procedimento.com.br may make mistakes. Verify important information. Termo de Responsabilidade

Como Desabilitar a Autenticação NTLM em um Domínio do Windows

Introdução ao tópico e sua importância
A autenticação NTLM (NT LAN Manager) é um protocolo de autenticação legado no Windows que foi substituído pelo protocolo Kerberos mais seguro. No entanto, em alguns casos, a autenticação NTLM ainda pode estar habilitada em um domínio do Windows, o que pode representar um risco de segurança. Desabilitar a autenticação NTLM é importante para fortalecer a segurança do ambiente e garantir a utilização do protocolo Kerberos, que oferece recursos avançados de autenticação.


Exemplos:
1. Desabilitando a autenticação NTLM via CMD:



  • Abra o prompt de comando como administrador.

  • Execute o seguinte comando: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v "lmcompatibilitylevel" /t REG_DWORD /d 5 /f

  • Reinicie o computador para que as alterações tenham efeito.


2. Desabilitando a autenticação NTLM via PowerShell:



  • Abra o PowerShell como administrador.

  • Execute o seguinte comando: Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "lmcompatibilitylevel" -Value 5

  • Reinicie o computador para que as alterações tenham efeito.


3. Verificando o status da autenticação NTLM via CMD:



  • Abra o prompt de comando como administrador.

  • Execute o seguinte comando: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" /v "lmcompatibilitylevel"

  • O resultado exibirá o valor atual da configuração da autenticação NTLM.



No Windows, é possível desabilitar a autenticação NTLM em um domínio utilizando diferentes métodos, como o CMD, PowerShell, Regedit ou GPO (Group Policy Object).




  • CMD: Utilize os comandos reg add e reg query para alterar e verificar o valor da chave de registro "lmcompatibilitylevel" em "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa". O valor 5 desabilita a autenticação NTLM. Reinicie o computador para aplicar as alterações.




  • PowerShell: Utilize o cmdlet Set-ItemProperty para definir o valor da propriedade "lmcompatibilitylevel" em "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" como 5. Reinicie o computador para aplicar as alterações.




  • Regedit: Abra o Editor de Registro, navegue até a chave "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa" e altere o valor da entrada "lmcompatibilitylevel" para 5. Reinicie o computador para aplicar as alterações.




  • GPO: Utilize o Editor de Gerenciamento de Política de Grupo (Group Policy Management Editor) para criar uma nova política de grupo ou editar uma existente. Navegue até "Configuração do Computador" > "Políticas" > "Configurações do Windows" > "Configurações de Segurança" > "Políticas Locais" > "Opções de Segurança" e encontre a configuração "Network security: LAN Manager authentication level". Defina o valor como "Send NTLMv2 response only" ou "Send NTLMv2 response only/refuse LM & NTLM" para desabilitar a autenticação NTLM. Aplique a política de grupo e reinicie os computadores afetados.




É importante ressaltar que a desabilitação da autenticação NTLM pode afetar a compatibilidade com alguns aplicativos legados que ainda dependem desse protocolo. Portanto, é recomendado realizar testes e verificar a compatibilidade antes de implementar essa alteração em um ambiente de produção.

To share Download PDF

Gostou do artigo? Deixe sua avaliação!
Sua opinião é muito importante para nós. Clique em um dos botões abaixo para nos dizer o que achou deste conteúdo.