NTLM 認証の成功と失敗を監査するようにグループ ポリシーを構成する方法を学習しますか。 このチュートリアルでは、GPO を使用して NTLM 認証監査機能を構成する方法を説明します。

• Windows 2012 R2
• Windows 2016
• Windows 2019
• 窓 2022
• Windows 10
• ウィンドウズ 11

機器リスト

ここでは、このチュートリアルを作成するために使用される機器のリストを見つけることができます。

このリンクには、このチュートリアルの作成に使用するソフトウェアの一覧も表示されます。

ウィンドウズ関連のチュートリアル:

このページでは、Windows に関連するチュートリアルの一覧にすばやくアクセスできます。

チュートリアル GPO - NTLM 認証の監査

ドメイン コントローラで、グループ ポリシー管理ツールを開きます。

Windows - Group Policy management

既定のドメイン ポリシーを編集します。

GPO - Default domain policy

グループ ポリシー エディタ画面で、[コンピューター] 構成フォルダを展開し、次の項目を見つけます。

Copy to Clipboard

セキュリティ オプションという名前のフォルダにアクセスします。

GPO - Default domain - local security options

「ネットワーク セキュリティ: NTLM の制限: 着信 NTLM トラフィックの監査」という名前の構成項目を編集します。

すべてのアカウントを監査するオプションを有効にします。

GPO - Audit Incoming NTLM

「ネットワーク セキュリティ: NTLM の制限: リモート サーバーへの発信 NTLM トラフィック」という名前の構成項目を編集します。

すべてを監査するオプションを有効にします。

GPO - Audit Outgoing NTLM

グループ ポリシー構成を保存するには、グループ ポリシー エディターを閉じる必要があります。

既定のドメイン コントローラ ポリシーを編集します。

GPO - Default domain controllers policy

グループ ポリシー エディタ画面で、[コンピューター] 構成フォルダを展開し、次の項目を見つけます。

Copy to Clipboard

セキュリティ オプションという名前のフォルダにアクセスします。

GPO - Default domain controllers - Security Options

「ネットワーク・セキュリティー: NTLM の制限: このドメインの NTLM 認証を監査する」という名前の構成項目を編集します。

[すべて有効にする]オプションを選択します。

GPO - Audit NTLM authentication in this domain

グループ ポリシー構成を保存するには、グループ ポリシー エディターを閉じる必要があります。

おめでとう! GPO の作成が完了しました。

チュートリアル GPO - NTLM ログオン イベントの監査

GPO を適用した後、10 分または 20 分待つ必要があります。

この間、GPO は他のドメイン コントローラにレプリケートされます。

リモート コンピューターで、管理者特権の Powershell コマンド ラインを起動します。

Windows 10 - powershell elevated

ログに記録される NTLM イベントの一覧を確認します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

NTLM ログオン イベントを一覧表示します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

特定の NTLM イベントを一覧表示します。

Copy to Clipboard

最後の NTLM イベントから詳細を取得します。

Copy to Clipboard

コマンド出力を次に示します。

Copy to Clipboard

この例では、NTLM の成功イベントと失敗イベントを監査するように GPO を構成しました。