Tutorial GPO - Overvåg NTLM-godkendelsen [ Trin for trin ]

Vil du gerne lære, hvordan du konfigurerer en gruppepolitik til at overvåge NTLM-godkendelsens succes og fiasko? I dette selvstudium viser vi dig, hvordan du konfigurerer NTLM-godkendelsesrevisionsfunktionen ved hjælp af et GPO.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Liste over udstyr

Her kan du finde listen over udstyr, der bruges til at oprette denne tutorial.

Liste over udstyr

Dette link viser også den softwareliste, der bruges til at oprette dette selvstudium.

Selvstudium i Windows:

På denne side tilbyder vi hurtig adgang til en liste over selvstudier relateret til Windows.

Selvstudium af GPO – Overvåg NTLM-godkendelsen

Åbn gruppepolitikstyringsværktøjet på domænecontrolleren.

Rediger standarddomænepolitikken.

Udvid computerkonfigurationsmappen på skærmbilledet Gruppepolitikeditor, og find følgende element.

Copy to Clipboard

Få adgang til mappen Med navnet Sikkerhedsindstillinger.

GPO - Default domain - local security options

Rediger konfigurationselementet med navnet Netværkssikkerhed: Begræns NTLM: Overvåg indgående NTLM-trafik.

Aktivér mulighederne for at overvåge for alle konti.

Rediger konfigurationselementet med navnet Netværkssikkerhed: Begræns NTLM: Udgående NTLM-trafik til eksterne servere.

Aktivér mulighederne for at overvåge alle.

Hvis du vil gemme gruppepolitikkonfigurationen, skal du lukke editoren gruppepolitik.

Rediger standardpolitikken for domænecontrollere.

Udvid computerkonfigurationsmappen på skærmbilledet Gruppepolitikeditor, og find følgende element.

Copy to Clipboard

Få adgang til mappen Med navnet Sikkerhedsindstillinger.

GPO - Default domain controllers - Security Options

Rediger konfigurationselementet med navnet Netværkssikkerhed: Begræns NTLM: Overvåg NTLM-godkendelse på dette domæne.

Vælg indstillingen Aktivér alle.

GPO - Audit NTLM authentication in this domain

Hvis du vil gemme gruppepolitikkonfigurationen, skal du lukke editoren gruppepolitik.

Tillykke! Du er færdig med oprettelsen af gruppepolitikobjektet.

Selvstudium af GPO – Revision af NTLM-logonhændelser

Efter anvendelse af gruppepolitikobjektet skal du vente i 10 eller 20 minutter.

I dette tidsrum replikeres gruppepolitikobjektet til andre domænecontrollere.

Start en forhøjet Powershell-kommandolinje på en fjerncomputer.

Bekræft listen over NTLM-hændelser, der logføres.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Id Description
  -- -----------
 100 NTLM authentication failed because the account was a member of the Protected User group....
 101 NTLM authentication failed because access control restrictions are required....
 301 NTLM authentication succeded, but it will fail when Authentication Policy is enforced because access control restrictions are required....
4001 NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked....
4002 NTLM server blocked: Incoming NTLM traffic to servers that is blocked...
4003 NTLM server blocked in the domain: NTLM authentication in this domain that is blocked...
4010 NTLM Minimum Client Security Block:...
4011 NTLM Minimum Server Security Block:...
4012 NTLM client used the domain password. The attempt to use the DC-generated NTLM secret failed, and fallback to the domain password succeeded....
4013 Attempt to use NTLMv1 failed....
8001 NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8002 NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8003 NTLM server blocked in the domain audit: Audit NTLM authentication in this domain...

Angiv NTLM-logonhændelser.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

TimeCreated                      Id LevelDisplayName Message
-----------                      -- ---------------- -------
8/5/2022 3:53:12 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:50:25 AM            8001 Information      NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8/5/2022 3:50:25 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:53 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:52 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:51 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:50 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:49 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:48 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:47 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...

Angiv specifikke NTLM-begivenheder.

Copy to Clipboard

Få oplysninger fra den sidste NTLM-begivenhed.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

I vores eksempel konfigurerede vi et GPO til at overvåge NTLM-succes- og fiaskohændelser.

GPO – Overvåg NTLM-godkendelsen

GPO – Overvåg NTLM-godkendelsen

Liste over udstyr

Selvstudium i Windows:

Selvstudium af GPO – Overvåg NTLM-godkendelsen

Selvstudium af GPO – Revision af NTLM-logonhændelser

Related Posts