none
Send NTLMv2 response only\refuse LM & NTLM RRS feed

  • Pregunta

  • Hola a todos,

    Requiero activar en un entorno una política de seguridad para los niveles de autenticación NTLM. Es necesario activar "Send NTLMv2 response only\refuse LM & NTLM".

    Los DC y servidores son Windows Server 2012 R2 y Windows Server 2016. Los equipos clientes son Win 7, 8.1 y 10.

    Entiendo que el entorno es compatible con NTLMv2, pero me surge una duda. En el caso que hubiesen dispositivos que no son compatibles con la autenticación NTLMv2 no van a poder autenticarse con el dominio, si ocurre esto, ¿se puede volver atrás?.

    Muchas gracias

    Saludos

    martes, 25 de agosto de 2020 22:36

Respuestas

  • Hola Rafael Galante Gutiérrez

     

    Gracias por levantar tu consulta en los foros de TechNet. Con respecto a la misma, cuando dices ¿se puede volver atrás?, te refieres a volver atrás en la configuración de la autenticación y cambiar el valor Send NTLMv2 response only\refuse LM & NTLM por otro valor? Si es así, la respuesta es Sí, podrás variar dicha configuración en la Política de Seguridad que deseas aplicar

     

     Si el servidor está configurado para enviar solo respuestas NTLMv2 y rechaza LM y NTLM, los clientes que usan LM y NTLM no podrán acceder a las aplicaciones IIS a menos que el cliente / estación de trabajo también esté configurado con la misma configuración. Es posible que otras aplicaciones no funcionen correctamente.

     

    Igualmente te comparto a continuación los siguientes enlaces que contienen documentación oficial y casos similares al que nos estas reportando:

     

    https://docs.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865670(v=ws.10)?redirectedfrom=MSDN

     

    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level

     

    https://docs.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj852207(v=ws.11)

     

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 26 de agosto de 2020 23:25
    Moderador
  • Hola Rafael Galante Gutiérrez

     

    Gracias de nuevo por tu respuesta. Efectivamente, NTLMv2 es compatible con Windows 7 por lo que no debería de tener problema alguno con la configuración actual.

     

    Tal como dices, podría afectar a más instancias dentro de tu entornno, solo te ponía el ejemplo de IIS.

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    jueves, 27 de agosto de 2020 21:34
    Moderador

Todas las respuestas

  • Hola Rafael Galante Gutiérrez

     

    Gracias por levantar tu consulta en los foros de TechNet. Con respecto a la misma, cuando dices ¿se puede volver atrás?, te refieres a volver atrás en la configuración de la autenticación y cambiar el valor Send NTLMv2 response only\refuse LM & NTLM por otro valor? Si es así, la respuesta es Sí, podrás variar dicha configuración en la Política de Seguridad que deseas aplicar

     

     Si el servidor está configurado para enviar solo respuestas NTLMv2 y rechaza LM y NTLM, los clientes que usan LM y NTLM no podrán acceder a las aplicaciones IIS a menos que el cliente / estación de trabajo también esté configurado con la misma configuración. Es posible que otras aplicaciones no funcionen correctamente.

     

    Igualmente te comparto a continuación los siguientes enlaces que contienen documentación oficial y casos similares al que nos estas reportando:

     

    https://docs.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865670(v=ws.10)?redirectedfrom=MSDN

     

    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level

     

    https://docs.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj852207(v=ws.11)

     

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    miércoles, 26 de agosto de 2020 23:25
    Moderador
  • Hola Rafael Galante Gutiérrez

     

    Gracias por levantar tu consulta en los foros de TechNet. Con respecto a la misma, cuando dices ¿se puede volver atrás?, te refieres a volver atrás en la configuración de la autenticación y cambiar el valor Send NTLMv2 response only\refuse LM & NTLM por otro valor? Si es así, la respuesta es Sí, podrás variar dicha configuración en la Política de Seguridad que deseas aplicar

     

     Si el servidor está configurado para enviar solo respuestas NTLMv2 y rechaza LM y NTLM, los clientes que usan LM y NTLM no podrán acceder a las aplicaciones IIS a menos que el cliente / estación de trabajo también esté configurado con la misma configuración. Es posible que otras aplicaciones no funcionen correctamente.

     

    Igualmente te comparto a continuación los siguientes enlaces que contienen documentación oficial y casos similares al que nos estas reportando:

     

    https://docs.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/jj865670(v=ws.10)?redirectedfrom=MSDN

     

    https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-lan-manager-authentication-level

     

    https://docs.microsoft.com/es-es/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/jj852207(v=ws.11)

     

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    Hola Miguel, 

    Muchas gracias por su respuesta.

    La GPO la tengo configurada para los servidores. Entiendo que abría que crear otra GPO para los equipos de clientes, aunque no debe ser necesario. A partir de Windows 7 ya son compatibles con NTLMv2 si no me equivoco.

    ¿La configuración de NTLM solo va afectar para la parte de IIS? No se ve afectada la conexión de los equipos al dominio, inicios de sesión de usuarios, bases de datos SQL, Navision u otra aplicación que haga uso de AD o esté integradas en el dominio?.

    Muchas gracias de nuevo,

    Saludos


    jueves, 27 de agosto de 2020 0:25
  • Hola Rafael Galante Gutiérrez

     

    Gracias de nuevo por tu respuesta. Efectivamente, NTLMv2 es compatible con Windows 7 por lo que no debería de tener problema alguno con la configuración actual.

     

    Tal como dices, podría afectar a más instancias dentro de tu entornno, solo te ponía el ejemplo de IIS.

     

    Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.

    Gracias por usar los foros de TechNet.

     

     

    Miguel Mosquera

     

    --------------------------------------------------------------------------

     

    Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde. 

     

    Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.  

     

    Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.

    jueves, 27 de agosto de 2020 21:34
    Moderador