Vil du gerne lære, hvordan du konfigurerer en gruppepolitik til at overvåge NTLM-godkendelsens succes og fiasko? I dette selvstudium viser vi dig, hvordan du konfigurerer NTLM-godkendelsesrevisionsfunktionen ved hjælp af et GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 11

Liste over udstyr

Her kan du finde listen over udstyr, der bruges til at oprette denne tutorial.

Dette link viser også den softwareliste, der bruges til at oprette dette selvstudium.

Selvstudium af GPO - Overvåg NTLM-godkendelsen

Åbn gruppepolitikstyringsværktøjet på domænecontrolleren.

Windows - Group Policy management

Rediger standarddomænepolitikken.

GPO - Default domain policy

Udvid computerkonfigurationsmappen på skærmbilledet Gruppepolitikeditor, og find følgende element.

Copy to Clipboard

Få adgang til mappen Med navnet Sikkerhedsindstillinger.

GPO - Default domain - local security options

Rediger konfigurationselementet med navnet Netværkssikkerhed: Begræns NTLM: Overvåg indgående NTLM-trafik.

Aktivér mulighederne for at overvåge for alle konti.

GPO - Audit Incoming NTLM

Rediger konfigurationselementet med navnet Netværkssikkerhed: Begræns NTLM: Udgående NTLM-trafik til eksterne servere.

Aktivér mulighederne for at overvåge alle.

GPO - Audit Outgoing NTLM

Hvis du vil gemme gruppepolitikkonfigurationen, skal du lukke editoren gruppepolitik.

Rediger standardpolitikken for domænecontrollere.

GPO - Default domain controllers policy

Udvid computerkonfigurationsmappen på skærmbilledet Gruppepolitikeditor, og find følgende element.

Copy to Clipboard

Få adgang til mappen Med navnet Sikkerhedsindstillinger.

GPO - Default domain controllers - Security Options

Rediger konfigurationselementet med navnet Netværkssikkerhed: Begræns NTLM: Overvåg NTLM-godkendelse på dette domæne.

Vælg indstillingen Aktivér alle.

GPO - Audit NTLM authentication in this domain

Hvis du vil gemme gruppepolitikkonfigurationen, skal du lukke editoren gruppepolitik.

Tillykke! Du er færdig med oprettelsen af gruppepolitikobjektet.

Selvstudium af GPO - Revision af NTLM-logonhændelser

Efter anvendelse af gruppepolitikobjektet skal du vente i 10 eller 20 minutter.

I dette tidsrum replikeres gruppepolitikobjektet til andre domænecontrollere.

Start en forhøjet Powershell-kommandolinje på en fjerncomputer.

Windows 10 - powershell elevated

Bekræft listen over NTLM-hændelser, der logføres.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Angiv NTLM-logonhændelser.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

Angiv specifikke NTLM-begivenheder.

Copy to Clipboard

Få oplysninger fra den sidste NTLM-begivenhed.

Copy to Clipboard

Her er kommandoen output.

Copy to Clipboard

I vores eksempel konfigurerede vi et GPO til at overvåge NTLM-succes- og fiaskohændelser.