Souhaitez-vous apprendre à configurer une stratégie de groupe pour auditer la réussite et l’échec de l’authentification NTLM ? Dans ce didacticiel, nous allons vous montrer comment configurer la fonctionnalité d’audit d’authentification NTLM à l’aide d’un objet de stratégie de groupe.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Liste des équipements

Ici, vous pouvez trouver la liste des équipements utilisés pour créer ce tutoriel.

Ce lien affichera également la liste logicielle utilisée pour créer ce tutoriel.

Tutoriel lié à Windows:

Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à Windows.

Didacticiel GPO – Audit de l’authentification NTLM

Sur le contrôleur de domaine, ouvrez l’outil de gestion des stratégies de groupe.

Windows - Group Policy management

Modifiez la stratégie de domaine par défaut.

GPO - Default domain policy

Dans l’écran de l’éditeur de stratégies de groupe, développez le dossier de configuration de l’ordinateur et recherchez l’élément suivant.

Copy to Clipboard

Accédez au dossier nommé Options de sécurité.

GPO - Default domain - local security options

Modifiez l’élément de configuration nommé Sécurité réseau : Restreindre NTLM : Auditer le trafic NTLM entrant.

Activez les options d’audit pour tous les comptes.

GPO - Audit Incoming NTLM

Modifiez l’élément de configuration nommé Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants.

Activez les options pour tout auditer.

GPO - Audit Outgoing NTLM

Pour enregistrer la configuration de stratégie de groupe, vous devez fermer l’éditeur de stratégie de groupe.

Modifiez la stratégie de contrôleurs de domaine par défaut.

GPO - Default domain controllers policy

Dans l’écran de l’éditeur de stratégies de groupe, développez le dossier de configuration de l’ordinateur et recherchez l’élément suivant.

Copy to Clipboard

Accédez au dossier nommé Options de sécurité.

GPO - Default domain controllers - Security Options

Modifiez l’élément de configuration nommé Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine.

Sélectionnez l’option Activer tout.

GPO - Audit NTLM authentication in this domain

Pour enregistrer la configuration de stratégie de groupe, vous devez fermer l’éditeur de stratégie de groupe.

félicitations! Vous avez terminé la création de GPO.

Didacticiel GPO – Auditer les événements d’ouverture de session NTLM

Après l’application de l’objet, vous devez attendre 10 ou 20 minutes.

Pendant ce temps, le GPO sera répliqué à d’autres contrôleurs de domaine.

Sur un ordinateur distant, démarrez une ligne de commande Powershell élevée.

Windows 10 - powershell elevated

Vérifiez la liste des événements NTLM qui seront consignés.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Répertorier les événements d’ouverture de session NTLM.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Répertoriez des événements NTLM spécifiques.

Copy to Clipboard

Obtenez des détails sur le dernier événement NTLM.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Dans notre exemple, nous avons configuré un objet de stratégie de groupe pour auditer les événements de réussite et d’échec NTLM.