NTLM 인증 성공 및 실패를 감사하도록 그룹 정책을 구성하는 방법을 알아보시겠습니까? 이 자습서에서는 GPO를 사용하여 NTLM 인증 감사 기능을 구성하는 방법을 보여 줍니다.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• 윈도우 2022
• Windows 10
• 윈도우 11

장비 목록

여기에서 이 자습서를 만드는 데 사용되는 장비 목록을 찾을 수 있습니다.

이 링크에는 이 자습서를 만드는 데 사용되는 소프트웨어 목록도 표시됩니다.

윈도우 관련 튜토리얼 :

이 페이지에서는 Windows와 관련된 자습서 목록에 빠르게 액세스할 수 있습니다.

자습서 GPO - NTLM 인증 감사

도메인 컨트롤러에서 그룹 정책 관리 도구를 엽니다.

Windows - Group Policy management

기본 도메인 정책을 편집합니다.

GPO - Default domain policy

그룹 정책 편집기 화면에서 컴퓨터 구성 폴더를 확장하고 다음 항목을 찾습니다.

Copy to Clipboard

보안 옵션이라는 폴더에 액세스합니다.

GPO - Default domain - local security options

네트워크 보안: NTLM 제한: 들어오는 NTLM 트래픽 감사라는 구성 항목을 편집합니다.

모든 계정에 대해 감사하는 옵션을 사용하도록 설정합니다.

GPO - Audit Incoming NTLM

네트워크 보안: NTLM 제한: 원격 서버로 나가는 NTLM 트래픽이라는 구성 항목을 편집합니다.

모든 옵션을 감사할 수 있도록 설정합니다.

GPO - Audit Outgoing NTLM

그룹 정책 구성을 저장하려면 그룹 정책 편집기를 닫아야 합니다.

기본 도메인 컨트롤러 정책을 편집합니다.

GPO - Default domain controllers policy

그룹 정책 편집기 화면에서 컴퓨터 구성 폴더를 확장하고 다음 항목을 찾습니다.

Copy to Clipboard

보안 옵션이라는 폴더에 액세스합니다.

GPO - Default domain controllers - Security Options

네트워크 보안: NTLM 제한: 이 도메인에서 NTLM 인증을 감사한다는 구성 항목을 편집합니다.

모두 사용 옵션을 선택합니다.

GPO - Audit NTLM authentication in this domain

그룹 정책 구성을 저장하려면 그룹 정책 편집기를 닫아야 합니다.

축! GPO 생성을 완료했습니다.

자습서 GPO - NTLM 로그온 이벤트 감사

GPO를 적용 한 후 10 또는 20 분 동안 기다려야합니다.

이 기간 동안 GPO는 다른 도메인 컨트롤러로 복제됩니다.

원격 컴퓨터에서 는 높은 Powershell 명령줄을 시작합니다.

Windows 10 - powershell elevated

기록될 NTLM 이벤트 목록을 확인합니다.

Copy to Clipboard

다음은 명령 출력입니다.

Copy to Clipboard

NTLM 로그온 이벤트를 나열합니다.

Copy to Clipboard

다음은 명령 출력입니다.

Copy to Clipboard

특정 NTLM 이벤트를 나열합니다.

Copy to Clipboard

마지막 NTLM 이벤트에서 세부 정보를 가져옵니다.

Copy to Clipboard

다음은 명령 출력입니다.

Copy to Clipboard

이 예제에서는 NTLM 성공 및 실패 이벤트를 감사하도록 GPO를 구성했습니다.