האם ברצונך ללמוד כיצד להגדיר מדיניות קבוצתית לביקורת על ההצלחה והכישלון של אימות NTLM? במדריך זה, נראה לך כיצד להגדיר את תכונת ביקורת האימות של NTLM באמצעות GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• חלונות 11

רשימת ציוד

כאן תוכל למצוא את רשימת הציוד המשמש ליצירת ערכת לימוד זו.

קישור זה גם יראה את רשימת התוכנה המשמשת ליצירת ערכת לימוד זו.

ערכת לימוד בנושא Windows:

בדף זה, אנו מציעים גישה מהירה לרשימת ערכות לימוד הקשורות ל- Windows.

ערכת לימוד לע"מ - ביקורת על אימות NTLM

בבקר קבוצת המחשבים, פתח את כלי ניהול המדיניות הקבוצתית.

Windows - Group Policy management

ערוך את מדיניות ברירת המחדל של קבוצת המחשבים.

GPO - Default domain policy

במסך עורך המדיניות הקבוצתית, הרחב את תיקיית תצורת המחשב ואתר את הפריט הבא.

Copy to Clipboard

גש לתיקיה בשם אפשרויות אבטחה.

GPO - Default domain - local security options

ערוך את פריט התצורה בשם אבטחת רשת: הגבל את NTLM: ביקורת תעבורת NTLM נכנסת.

הפעל את האפשרויות לביקורת עבור כל החשבונות.

GPO - Audit Incoming NTLM

ערוך את פריט התצורה בשם אבטחת רשת: הגבל את NTLM: תעבורת NTLM יוצאת לשרתים מרוחקים.

אפשרו לאפשרויות לבקר הכל.

GPO - Audit Outgoing NTLM

כדי לשמור את תצורת המדיניות הקבוצתית, עליך לסגור את עורך המדיניות הקבוצתית.

ערוך את מדיניות ברירת המחדל של בקרי קבוצות מחשבים.

GPO - Default domain controllers policy

במסך עורך המדיניות הקבוצתית, הרחב את תיקיית תצורת המחשב ואתר את הפריט הבא.

Copy to Clipboard

גש לתיקיה בשם אפשרויות אבטחה.

GPO - Default domain controllers - Security Options

ערוך את פריט התצורה בשם אבטחת רשת: הגבל את NTLM: בדוק אימות NTLM בתחום זה.

בחר באפשרות הפוך הכל לזמין.

GPO - Audit NTLM authentication in this domain

כדי לשמור את תצורת המדיניות הקבוצתית, עליך לסגור את עורך המדיניות הקבוצתית.

מזל טוב! סיימת את יצירת ה- GPO.

מדריך לע"מ - ביקורת אירועי כניסה של NTLM

לאחר החלת ה-GPO עליך להמתין 10 או 20 דקות.

במהלך תקופה זו ה- GPO ישוכפל לבקרי קבוצות מחשבים אחרים.

במחשב מרוחק, הפעל שורת פקודה של Powershell עם הרשאות מלאות.

Windows 10 - powershell elevated

אמת את רשימת אירועי NTLM שיירשמו.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

רשום את אירועי הכניסה של NTLM.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

רשום אירועי NTLM ספציפיים.

Copy to Clipboard

קבל פרטים מאירוע NTLM האחרון.

Copy to Clipboard

הנה פלט הפקודה.

Copy to Clipboard

בדוגמה שלנו, הגדרנו GPO לביקורת על אירועי הצלחה וכישלון של NTLM.