Отключить ntlm в internet explorer

Обновлено: 14.01.2025

Виртуальная машина сэкономит вам время и силы на правильное развертывание и администрирование вашего сайта или внутреннего информационного ресурса на базе продуктов «1С-Битрикс».

Курс предназначен для администраторов и пользователей продуктов «1С-Битрикс», устанавливающих для ознакомления либо переносящих готовые проекты на виртуальную машину BitrixVM. Аналогичным способом можно переносить проекты с удаленного сайта на виртуальную машину, между виртуальными машинами и т.д. В курсе рассматриваются процедуры установки всех необходимых приложений для работы продукта на виртуальной машине BitrixVM.

Описание установки VMWare Player не входит в данное руководство. По всем вопросам установки этой программы обращайтесь к документации VMWare Player.

На текущий момент рекомендуется к использованию виртуальная машина в версии 7.х. Описания остальных машин оставлены для тех, кто пока не переходит на более совершенную версию.

Баллы опыта

В конце каждого урока есть кнопка Прочитано! . При клике на неё в Вашу итоговую таблицу опыта добавляется то количество баллов, которое указано в прочитанном После нажатия кнопки Прочитано! появится
окно подтверждения:

уроке.

Периодически мы заново оцениваем сложность уроков, увеличивая/уменьшая число баллов, поэтому итоговое количество набранных Вами баллов может отличаться от максимально возможного. Не переживайте! Отличный результат - это если общее число набранных Вами баллов отличается от максимального на 1-2%.

iPhone:
FBReader
CoolReader
iBook
Bookmate

Windows:
Calibre
FBReader
Icecream Ebook Reader
Плагины для браузеров:
EpuBReader – для Firefox
Readium – для Google Chrome

iOS
Marvin for iOS
ShortBook
обновляются периодически, поэтому возможно некоторое отставание их от онлайновой версии курса.

Действия по отключению защищенного режима в IE 7, 8, 9, 10 и 11

Защищенный режим помогает предотвратить использование уязвимостей в Internet Explorer вредоносным программным обеспечением, защищая ваш компьютер от наиболее распространенных способов, с помощью которых хакеры могут получить доступ к вашей системе.

Как и в случае с защищенным режимом, известно, что он вызывает проблемы в определенных ситуациях, поэтому отключение этой функции может быть полезным при устранении некоторых проблем.

Однако не отключайте защищенный режим, если у вас нет оснований полагать, что он вызывает серьезную проблему в Internet Explorer. Если в противном случае он ведет себя нормально, лучше всего оставить его включенным.

Чтобы отключить защищенный режим Internet Explorer, выполните следующие простые действия:

Требуемое время . Отключение защищенного режима в Internet Explorer легко и обычно занимает менее 5 минут.

Эти шаги применимы к версиям Internet Explorer 7, 8, 9, 10 и 11 при установке в Windows 10, Windows 8, Windows 7 или Windows Vista.

Метод Internet Explorer

Откройте Internet Explorer.

Если вы не хотите использовать Internet Explorer для отключения защищенного режима, см. Совет 2 в нижней части этой страницы, где описаны некоторые альтернативные методы.

В командной строке Internet Explorer выберите Сервис > Свойства обозревателя .

В Internet Explorer 9, 10 и 11 меню Инструменты можно увидеть, нажав один раз клавишу Alt . Посмотрите, какая версия Internet Explorer у меня есть? если ты не уверен

Выберите вкладку Безопасность .

Ниже области Уровень безопасности для этой зоны и непосредственно над кнопками Пользовательский уровень и Уровень по умолчанию снимите флажок Включить защищенный режим флажок.

Отключение защищенного режима требует перезапуска Internet Explorer, как вы могли видеть рядом с флажком на этом шаге.

Выберите ОК .

Если вам предложат в диалоговом окне Предупреждение! , сообщив, что Текущие настройки безопасности подвергнут ваш компьютер риску. , выберите ОК .

Закройте Internet Explorer, а затем снова откройте его.

Попытайтесь еще раз посетить веб-сайты, которые вызывали ваши проблемы, чтобы увидеть, помогла ли сброс настроек безопасности Internet Explorer на вашем компьютере.

Метод реестра Windows

Откройте редактор реестра.

Используйте папки слева, чтобы перейти к следующему ключу в кусте HKEY_CURRENT_USER:

В ключе Настройки Интернета откройте подраздел Зоны и откройте нумерованную папку, соответствующую зоне, в которой вы хотите отключить защищенный режим.

Создайте новое значение REG_DWORD с именем 2500 в любой из этих зон, чтобы указать, следует ли включать или отключать защищенный режим, где значение 3 отключает защищенный режим и значение 0 включает защищенный режим.

Вы можете узнать больше о том, как таким образом управлять настройками защищенного режима, в этой теме для суперпользователей.

Дополнительная справка и информация о защищенном режиме IE

Защищенный режим недоступен в Internet Explorer при установке в Windows XP. Windows Vista является самой ранней операционной системой, которая поддерживает защищенный режим.

Вы всегда должны обновлять программное обеспечение, такое как Internet Explorer.См. Как обновить Internet Explorer, если вам нужна помощь.

Защищенный режим по умолчанию отключен только в зонах Надежные сайты и Локальная интрасеть , поэтому необходимо вручную снять флажок Включить защищенный режим в зонах Интернет и Запрещенные сайты .

Некоторые версии Internet Explorer в некоторых версиях Windows могут использовать так называемый расширенный защищенный режим. Это также можно найти в окне Свойства обозревателя , но на вкладке Дополнительно . Если вы включите расширенный защищенный режим в Internet Explorer, вам придется перезагрузить компьютер, чтобы он вступил в силу.

На днях поступила интересная мысль: Сделать сквозную авторизацию IE. Это необходимо для того, чтоб доменные пользователи не набирали пароли при входе на внутренние веб порталы, авторизуясь под своей доменной учеткой, под ней же сразу проваливаешься на портал.

Для того чтоб это работало необходимо следующее:

-В IE должна присутствовать галка: Разрешить встроенную проверку Windows (она стоит по умолчанию);

-Сайты должны быть добавлены в раздел Местная интрасеть, но если комп в домене, то по умолчанию все поля не активны.

Задача оказалась не такой простой, как казалось изначально.

Для не доменных машинок процесс достаточно прост:

Откройте Свойства браузера -> Безопасность -> Местная интрасеть (Local intranet), нажмите на кнопку Сайты -> Дополнительно. Добавьте в зону следующие записи:

Даже если бы и была возможность, то руками прописывать сайты никак не улыбается, поэтому, как обычно, делаем это через GPO:

Открываем редактор локальной (gpedit.msc) либо доменной (gpmc.msc) политики.

Переходим в раздел Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Internet Explorer -> Панель управления браузером -> Вкладка безопасность.

Включаем политику Список назначений зоны безопасности для веб-сайтов. В настройках политики нужно указать список доверенных серверов в формате:

Имя сервера (в виде file://server_name, \\server_name, server_name или IP)
Номер зоны (1 – Для местной интрасети)

В моем случае правим отдельную политику IE Default (ранее она уже была создана для других манипуляций IE):

На компе gpupdate /force

Теперь в IE появляются следующие настройки:

Можно проверить ветку реестра:

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\ Internet Settings\ZoneMap\Domains.

Теперь авторизация проходит без пароля. Это радует. Но работает пока только в IE. В Chrome у меня не сработало, но потом все вроде подхватилось и под Chrome.

Но если все же не заработало, то можно прикрутить в GPO шаблон под Chrome:

Сейчас эти галки возможно убрать руками просто зайдя в настройки IE:

Чтоб такой возможности у пользователей не было, можно включить все три вот этих политики:

Описывает лучшие практики, расположение, значения, аспекты управления и соображения безопасности для сетевой безопасности: Ограничение проверки подлинности NTLM: NTLM в этом параметре политики безопасности домена.

Справочники

Сетевой безопасность: ограничение проверки подлинности NTLM: проверка подлинности NTLM в этом параметре политики домена позволяет запретить или разрешить проверку подлинности NTLM в домене из этого контроллера домена. Этот параметр политики не влияет на интерактивный логотип этого контроллера домена.

Возможные значения

Отключить

Контроллер домена разрешит все запросы на проверку подлинности через NTLM в домене.

Отказ в доступе учетных записей домена к серверам домена

Контроллер домена будет отрицать все попытки проверки подлинности NTLM с использованием учетных записей из этого домена на всех серверах домена. Попытки проверки подлинности NTLM будут заблокированы и будут возвращать заблокированную ошибку NTLM, если имя сервера не будет в списке исключений в сетевой безопасности: ограничьте NTLM: Добавьте исключения сервера в этом параметре политики домена.

NTLM можно использовать, если пользователи подключаются к другим доменам. Это зависит от того, были ли на этих доменах установлены какие-либо политики ограничения NTLM.

Отказ для учетных записей домена

Только контроллер домена будет отказывать во всех попытках проверки подлинности NTLM из учетных записей домена и возвращает заблокированную ошибку NTLM, если имя сервера не будет в списке исключений в сетевой безопасности: Ограничь NTLM: Добавьте исключения сервера в этом параметре политики домена.

Отказ для серверов домена

Контроллер домена отзовет запросы на проверку подлинности NTLM для всех серверов домена и возвращает заблокированную ошибку NTLM, если имя сервера не будет в списке исключений в сетевой безопасности: ограничьте NTLM: Добавьте исключения сервера в этом параметре политики домена. Серверы, которые не присоединяются к домену, не будут затронуты при настройке этого параметра политики.

Запретить все

Контроллер домена отзовет все запросы NTLM на проверку подлинности с серверов и учетных записей и возвращает заблокированную ошибку NTLM, если имя сервера не будет в списке исключений в сетевой безопасности: ограничьте NTLM: Добавьте исключения сервера в этом параметре политики домена.

Контроллер домена разрешит все запросы на проверку подлинности NTLM в домене, где развернута политика.

Location

Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options

Значения по умолчанию

Тип сервера или объект групповой политики	Значение по умолчанию
Политика домена по умолчанию	Не настроено
Политика контроллера домена по умолчанию	Не настроено
Параметры по умолчанию отдельного сервера	Не настроено
Эффективные параметры контроллера домена по умолчанию	Не настроено
Параметры сервера-участника по умолчанию	Не настроено
Параметры клиентского компьютера по умолчанию	Не настроено

Управление политикой

В этом разделе описываются различные функции и средства, доступные для управления этой политикой.

Необходимость перезапуска

Нет. Изменения в этой политике становятся эффективными без перезапуска при локальном сбережении или распространении через групповую политику.

Групповая политика

Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве. Если в групповой политике установлено, что не настроено, будут применяться локальные параметры.

Аудит

Просмотреть журнал операционных событий, чтобы узнать, работает ли эта политика по назначению. События аудита и блокировки записывают на этом компьютере в журнале операционных событий, расположенном в журнале Приложений и Служб\\Microsoft\Windows\NTLM.

Нет политик событий аудита безопасности, которые можно настроить для просмотра выходных данных из этой политики.

Вопросы безопасности

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.

Проверка подлинности NTLM и NTLMv2 уязвима для различных вредоносных атак, в том числе для воспроизведения SMB, атак "человек в середине" и атак грубой силы. Уменьшение и устранение проверки подлинности NTLM из среды вынуждает операционную систему Windows использовать более безопасные протоколы, такие как протокол Kerberos версии 5 или различные механизмы проверки подлинности, например смарт-карты.

Уязвимость

Вредоносные атаки на трафик проверки подлинности NTLM, в результате чего скомпрометирован сервер или контроллер домена могут возникать только в том случае, если контроллер сервера или домена обрабатывает запросы NTLM. Если эти запросы отказано, этот вектор атаки устраняется.

Противодействие

Если установлено, что протокол проверки подлинности NTLM не следует использовать в сети, так как требуется использовать более безопасный протокол, например протокол Kerberos, можно выбрать один из нескольких вариантов, которые этот параметр политики безопасности предлагает ограничить использование NTLM в домене.

Возможное влияние

Если настроить этот параметр политики, многочисленные запросы на проверку подлинности NTLM могут привести к сбойу в домене, что может привести к ухудшению производительности. Перед реализацией этого изменения с помощью этого параметра политики установите службу сетевой безопасности: ограничь проверку подлинности NTLM: Аудит проверки подлинности NTLM в этом домене на один и тот же параметр, чтобы можно было просмотреть журнал на предмет потенциального воздействия, выполнить анализ серверов и создать список исключений из этого параметра политики с помощью сетевой безопасности: Ограничение NTLM: Добавление исключений сервера в этом домене.

Читайте также: