Didacticiel GPO - Audit de l’authentification NTLM [ Étape par étape ]

Souhaitez-vous apprendre à configurer une stratégie de groupe pour auditer la réussite et l’échec de l’authentification NTLM ? Dans ce didacticiel, nous allons vous montrer comment configurer la fonctionnalité d’audit d’authentification NTLM à l’aide d’un objet de stratégie de groupe.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Fenêtres 2022
• Windows 10
• Windows 11

Liste des équipements

Ici, vous pouvez trouver la liste des équipements utilisés pour créer ce tutoriel.

Liste des équipements

Ce lien affichera également la liste logicielle utilisée pour créer ce tutoriel.

Tutoriel lié à Windows:

Sur cette page, nous offrons un accès rapide à une liste de tutoriels liés à Windows.

Didacticiel GPO - Audit de l’authentification NTLM

Sur le contrôleur de domaine, ouvrez l’outil de gestion des stratégies de groupe.

Modifiez la stratégie de domaine par défaut.

Dans l’écran de l’éditeur de stratégies de groupe, développez le dossier de configuration de l’ordinateur et recherchez l’élément suivant.

Copy to Clipboard

Accédez au dossier nommé Options de sécurité.

GPO - Default domain - local security options

Modifiez l’élément de configuration nommé Sécurité réseau : Restreindre NTLM : Auditer le trafic NTLM entrant.

Activez les options d’audit pour tous les comptes.

Modifiez l’élément de configuration nommé Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers des serveurs distants.

Activez les options pour tout auditer.

Pour enregistrer la configuration de stratégie de groupe, vous devez fermer l’éditeur de stratégie de groupe.

Modifiez la stratégie de contrôleurs de domaine par défaut.

Dans l’écran de l’éditeur de stratégies de groupe, développez le dossier de configuration de l’ordinateur et recherchez l’élément suivant.

Copy to Clipboard

Accédez au dossier nommé Options de sécurité.

GPO - Default domain controllers - Security Options

Modifiez l’élément de configuration nommé Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine.

Sélectionnez l’option Activer tout.

GPO - Audit NTLM authentication in this domain

Pour enregistrer la configuration de stratégie de groupe, vous devez fermer l’éditeur de stratégie de groupe.

félicitations! Vous avez terminé la création de GPO.

Didacticiel GPO - Auditer les événements d’ouverture de session NTLM

Après l’application de l’objet, vous devez attendre 10 ou 20 minutes.

Pendant ce temps, le GPO sera répliqué à d’autres contrôleurs de domaine.

Sur un ordinateur distant, démarrez une ligne de commande Powershell élevée.

Vérifiez la liste des événements NTLM qui seront consignés.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Id Description
  -- -----------
 100 NTLM authentication failed because the account was a member of the Protected User group....
 101 NTLM authentication failed because access control restrictions are required....
 301 NTLM authentication succeded, but it will fail when Authentication Policy is enforced because access control restrictions are required....
4001 NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked....
4002 NTLM server blocked: Incoming NTLM traffic to servers that is blocked...
4003 NTLM server blocked in the domain: NTLM authentication in this domain that is blocked...
4010 NTLM Minimum Client Security Block:...
4011 NTLM Minimum Server Security Block:...
4012 NTLM client used the domain password. The attempt to use the DC-generated NTLM secret failed, and fallback to the domain password succeeded....
4013 Attempt to use NTLMv1 failed....
8001 NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8002 NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8003 NTLM server blocked in the domain audit: Audit NTLM authentication in this domain...

Répertorier les événements d’ouverture de session NTLM.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

TimeCreated                      Id LevelDisplayName Message
-----------                      -- ---------------- -------
8/5/2022 3:53:12 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:50:25 AM            8001 Information      NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8/5/2022 3:50:25 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:53 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:52 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:51 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:50 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:49 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:48 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:47 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...

Répertoriez des événements NTLM spécifiques.

Copy to Clipboard

Obtenez des détails sur le dernier événement NTLM.

Copy to Clipboard

Voici la sortie de commande.

Copy to Clipboard

Dans notre exemple, nous avons configuré un objet de stratégie de groupe pour auditer les événements de réussite et d’échec NTLM.

GPO - Audit de l’authentification NTLM

GPO - Audit de l’authentification NTLM

Liste des équipements

Tutoriel lié à Windows:

Didacticiel GPO - Audit de l’authentification NTLM

Didacticiel GPO - Auditer les événements d’ouverture de session NTLM

Related Posts