¿Desea obtener información sobre cómo configurar una directiva de grupo para auditar el éxito y el error de la autenticación NTLM? En este tutorial, le mostraremos cómo configurar la característica de auditoría de autenticación NTLM mediante un GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 11

Lista de equipos

Aquí puede encontrar la lista de equipos utilizados para crear este tutorial.

Este enlace también mostrará la lista de software utilizada para crear este tutorial.

Tutorial relacionado con Windows:

En esta página, ofrecemos acceso rápido a una lista de tutoriales relacionados con Windows.

Tutorial GPO - Auditar la autenticación NTLM

En el controlador de dominio, abra la herramienta de administración de directivas de grupo.

Windows - Group Policy management

Edite la directiva de dominio predeterminada.

GPO - Default domain policy

En la pantalla del editor de directivas de grupo, expanda la carpeta Configuración del equipo y busque el siguiente elemento.

Copy to Clipboard

Acceda a la carpeta denominada Opciones de seguridad.

GPO - Default domain - local security options

Edite el elemento de configuración denominado Seguridad de red: Restringir NTLM: Auditar el tráfico NTLM entrante.

Habilite las opciones para auditar todas las cuentas.

GPO - Audit Incoming NTLM

Edite el elemento de configuración denominado Seguridad de red: Restringir NTLM: Tráfico NTLM saliente a servidores remotos.

Habilite las opciones para auditar todo.

GPO - Audit Outgoing NTLM

Para guardar la configuración de directiva de grupo, debe cerrar el editor de directivas de grupo.

Edite la directiva predeterminada de controladores de dominio.

GPO - Default domain controllers policy

En la pantalla del editor de directivas de grupo, expanda la carpeta Configuración del equipo y busque el siguiente elemento.

Copy to Clipboard

Acceda a la carpeta denominada Opciones de seguridad.

GPO - Default domain controllers - Security Options

Edite el elemento de configuración denominado Seguridad de red: Restringir NTLM: Auditar la autenticación NTLM en este dominio.

Seleccione la opción Habilitar todo.

GPO - Audit NTLM authentication in this domain

Para guardar la configuración de directiva de grupo, debe cerrar el editor de directivas de grupo.

¡Felicitaciones! Ha terminado la creación del GPO.

Tutorial GPO - Auditar eventos de inicio de sesión NTLM

Después de aplicar el GPO es necesario esperar 10 o 20 minutos.

Durante este tiempo, el GPO se replicará en otros controladores de dominio.

En un equipo remoto, inicie una línea de comandos de Powershell elevada.

Windows 10 - powershell elevated

Compruebe la lista de eventos NTLM que se registrarán.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Enumerar eventos de inicio de sesión de NTLM.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

Enumere eventos NTLM específicos.

Copy to Clipboard

Obtenga detalles del último evento NTLM.

Copy to Clipboard

Aquí está la salida del comando.

Copy to Clipboard

En nuestro ejemplo, configuramos un GPO para auditar eventos de éxito y error de NTLM.