Tutorial GPO - Tarkista NTLM-todennus [ Askel askeleelta ]

Haluatko oppia määrittämään ryhmäkäytännön NTLM-todennuksen onnistumisen ja epäonnistumisen tarkistamiseksi? Tässä opetusohjelmassa näytämme sinulle, miten voit määrittää NTLM-todennuksen valvontaominaisuuden GPO:n avulla.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Laiteluettelo

Täältä löydät luettelon laitteista, joita käytetään tämän opetusohjelman luomiseen.

Laiteluettelo

Tämä linkki näyttää myös tämän opetusohjelman luomiseen käytetyn ohjelmistoluettelon.

Windowsiin liittyvä opetusohjelma:

Tällä sivulla tarjoamme nopean pääsyn luetteloon Windowsiin liittyvistä opetusohjelmista.

Opetusohjelman GPO – NTLM-todennuksen tarkastaminen

Avaa toimialueen ohjauskoneessa ryhmäkäytäntöjen hallintatyökalu.

Muokkaa oletustoimialuekäytäntöä.

Laajenna ryhmäkäytäntöeditorin näytössä Tietokoneen määrityskansio ja etsi seuraava kohde.

Copy to Clipboard

Käytä suojausasetuksiin nimettyä kansiota.

GPO - Default domain - local security options

Muokkaa määrityskohdetta nimeltä Verkon suojaus: Rajoita NTLM:ää: Tarkista saapuva NTLM-liikenne.

Ota käyttöön kaikkien tilien tarkastusasetukset.

Muokkaa määrityskohdetta nimeltä Verkon suojaus: Rajoita NTLM: Lähtevää NTLM-liikennettä etäpalvelimiin.

Ota asetukset käyttöön, jos haluat tarkastaa kaikki.

Jos haluat tallentaa ryhmäkäytäntömäärityksen, sinun on suljettava ryhmäkäytäntöeditori.

Muokkaa toimialueen ohjauskoneiden oletuskäytäntöä.

Laajenna ryhmäkäytäntöeditorin näytössä Tietokoneen määrityskansio ja etsi seuraava kohde.

Copy to Clipboard

Käytä suojausasetuksiin nimettyä kansiota.

GPO - Default domain controllers - Security Options

Muokkaa määrityskohdetta nimeltä Verkon suojaus: Rajoita NTLM: Tarkista NTLM-todennus tällä toimialueella.

Valitse vaihtoehto Ota kaikki käyttöön.

GPO - Audit NTLM authentication in this domain

Jos haluat tallentaa ryhmäkäytäntömäärityksen, sinun on suljettava ryhmäkäytäntöeditori.

Onnittelen! Olet saanut GPO:n luomisen valmiiksi.

Opetusohjelma GPO – NTLM-kirjautumistapahtumien tarkastaminen

Kun olet soveltanut GPO: ta, sinun on odotettava 10 tai 20 minuuttia.

Tänä aikana GPO replikoidaan muihin toimialueen ohjauskoneeseen.

Käynnistä etätietokoneessa korotettu Powershell-komentorivi.

Tarkista kirjattavien NTLM-tapahtumien luettelo.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Id Description
  -- -----------
 100 NTLM authentication failed because the account was a member of the Protected User group....
 101 NTLM authentication failed because access control restrictions are required....
 301 NTLM authentication succeded, but it will fail when Authentication Policy is enforced because access control restrictions are required....
4001 NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked....
4002 NTLM server blocked: Incoming NTLM traffic to servers that is blocked...
4003 NTLM server blocked in the domain: NTLM authentication in this domain that is blocked...
4010 NTLM Minimum Client Security Block:...
4011 NTLM Minimum Server Security Block:...
4012 NTLM client used the domain password. The attempt to use the DC-generated NTLM secret failed, and fallback to the domain password succeeded....
4013 Attempt to use NTLMv1 failed....
8001 NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8002 NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8003 NTLM server blocked in the domain audit: Audit NTLM authentication in this domain...

Luettele NTLM-kirjautumistapahtumat.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

TimeCreated                      Id LevelDisplayName Message
-----------                      -- ---------------- -------
8/5/2022 3:53:12 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:50:25 AM            8001 Information      NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8/5/2022 3:50:25 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:53 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:52 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:51 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:50 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:49 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:48 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:47 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...

Luettele tietyt NTLM-tapahtumat.

Copy to Clipboard

Hanki tietoja viimeisimmästä NTLM-tapahtumasta.

Copy to Clipboard

Tässä on komentotulostin.

Copy to Clipboard

Esimerkissämme määritimme ryhmäkäytäntöobjektin valvomaan NTLM:n onnistumis- ja epäonnistumistapahtumia.

Ryhmäkäytäntöobjekti – NTLM-todennuksen tarkastaminen

Ryhmäkäytäntöobjekti – NTLM-todennuksen tarkastaminen

Laiteluettelo

Windowsiin liittyvä opetusohjelma:

Opetusohjelman GPO – NTLM-todennuksen tarkastaminen

Opetusohjelma GPO – NTLM-kirjautumistapahtumien tarkastaminen

Ryhmäkäytäntöobjekti – NTLM-todennuksen tarkastaminen

Ryhmäkäytäntöobjekti – NTLM-todennuksen tarkastaminen

Laiteluettelo

Windowsiin liittyvä opetusohjelma:

Opetusohjelman GPO – NTLM-todennuksen tarkastaminen

Opetusohjelma GPO – NTLM-kirjautumistapahtumien tarkastaminen

Related Posts