Möchten Sie erfahren, wie Sie eine Gruppenrichtlinie konfigurieren, um den Erfolg und Misserfolg der NTLM-Authentifizierung zu überwachen? In diesem Lernprogramm zeigen wir Ihnen, wie Sie das NTLM-Authentifizierungsüberwachungsfeature mithilfe eines Gruppenrichtlinienobjekts konfigurieren.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Geräteliste

Hier finden Sie die Liste der Geräte, die zum Erstellen dieses Tutorials verwendet wurden.

Dieser Link zeigt auch die Softwareliste, die zum Erstellen dieses Tutorials verwendet wurde.

Windows-bezogenes Tutorial:

Auf dieser Seite bieten wir schnellen Zugriff auf eine Liste von Tutorials zu Windows.

Lernprogramm GPO – Überwachen der NTLM-Authentifizierung

Öffnen Sie auf dem Domänencontroller das Gruppenrichtlinienverwaltungstool.

Windows - Group Policy management

Bearbeiten Sie die Standarddomänenrichtlinie.

GPO - Default domain policy

Erweitern Sie auf dem Bildschirm des Gruppenrichtlinien-Editors den Ordner Computerkonfiguration, und suchen Sie das folgende Element.

Copy to Clipboard

Greifen Sie auf den Ordner mit dem Namen Sicherheitsoptionen zu.

GPO - Default domain - local security options

Bearbeiten Sie das Konfigurationselement mit dem Namen Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Datenverkehr überwachen.

Aktivieren Sie die Optionen für die Überwachung für alle Konten.

GPO - Audit Incoming NTLM

Bearbeiten Sie das Konfigurationselement mit dem Namen Netzwerksicherheit: NTLM: Ausgehender NTLM-Datenverkehr auf Remoteserver beschränken.

Aktivieren Sie die Optionen, um alle zu überwachen.

GPO - Audit Outgoing NTLM

Zum Speichern der Gruppenrichtlinienkonfiguration müssen Sie den Gruppenrichtlinien-Editor schließen.

Bearbeiten Sie die Standardrichtlinie für Domänencontroller.

GPO - Default domain controllers policy

Erweitern Sie auf dem Bildschirm des Gruppenrichtlinien-Editors den Ordner Computerkonfiguration, und suchen Sie das folgende Element.

Copy to Clipboard

Greifen Sie auf den Ordner mit dem Namen Sicherheitsoptionen zu.

GPO - Default domain controllers - Security Options

Bearbeiten Sie das Konfigurationselement mit dem Namen Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne überwachen.

Wählen Sie die Option Alle aktivieren.

GPO - Audit NTLM authentication in this domain

Zum Speichern der Gruppenrichtlinienkonfiguration müssen Sie den Gruppenrichtlinien-Editor schließen.

Herzlichen glückwunsch! Sie haben die GPO-Erstellung abgeschlossen.

Lernprogramm GPO – Überwachen von NTLM-Anmeldeereignissen

Nach der Anwendung des Gruppenrichtlinienobjekts müssen Sie 10 oder 20 Minuten warten.

Während dieser Zeit wird das Gruppenrichtlinienobjekt auf andere Domänencontroller repliziert.

Starten Sie auf einem Remotecomputer eine erhöhte Powershell-Befehlszeile.

Windows 10 - powershell elevated

Überprüfen Sie die Liste der NTLM-Ereignisse, die protokolliert werden.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

Listen Sie NTLM-Anmeldeereignisse auf.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

Listen Sie bestimmte NTLM-Ereignisse auf.

Copy to Clipboard

Rufen Sie Details aus dem letzten NTLM-Ereignis ab.

Copy to Clipboard

Hier ist die Befehlsausgabe.

Copy to Clipboard

In unserem Beispiel haben wir ein Gruppenrichtlinienobjekt konfiguriert, um NTLM-Erfolgs- und Fehlerereignisse zu überwachen.