Tutorial GPO - Controleer de NTLM-verificatie [ Stap voor stap ]

Wilt u weten hoe u een groepsbeleid configureert om het succes en de mislukking van de NTLM-verificatie te controleren? In deze zelfstudie laten we u zien hoe u de NTLM-verificatiecontrolefunctie configureert met behulp van een groepsbeleidsobject.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Uitrustingslijst

Hier vindt u de lijst met apparatuur die wordt gebruikt om deze zelfstudie te maken.

Uitrustingslijst

Deze link toont ook de softwarelijst die wordt gebruikt om deze zelfstudie te maken.

Windows Gerelateerde zelfstudie:

Op deze pagina bieden we snel toegang tot een lijst met zelfstudies met betrekking tot Windows.

Zelfstudie-groepsbeleidsobject – Controleer de NTLM-verificatie

Open op de domeincontroller het hulpprogramma voor groepsbeleidsbeheer.

Bewerk het standaarddomeinbeleid.

Vouw in het scherm van de groepsbeleidseditor de map Computerconfiguratie uit en zoek het volgende item.

Copy to Clipboard

Toegang tot de map met de naam Beveiligingsopties.

GPO - Default domain - local security options

Het configuratie-item met de naam Netwerkbeveiliging bewerken: NTLM beperken: Inkomend NTLM-verkeer controleren.

Schakel de opties in om te controleren voor alle accounts.

Het configuratie-item met de naam Netwerkbeveiliging bewerken: NTLM beperken: Uitgaand NTLM-verkeer naar externe servers.

Schakel de opties in om alles te controleren.

Als u de configuratie van het groepsbeleid wilt opslaan, moet u de editor groepsbeleid sluiten.

Bewerk het standaardbeleid voor domeincontrollers.

Vouw in het scherm van de groepsbeleidseditor de map Computerconfiguratie uit en zoek het volgende item.

Copy to Clipboard

Toegang tot de map met de naam Beveiligingsopties.

GPO - Default domain controllers - Security Options

Het configuratie-item met de naam Netwerkbeveiliging bewerken: NTLM beperken: NTLM-verificatie controleren in dit domein.

Selecteer de optie Alles inschakelen.

GPO - Audit NTLM authentication in this domain

Als u de configuratie van het groepsbeleid wilt opslaan, moet u de editor groepsbeleid sluiten.

Gefeliciteerd! Je bent klaar met de GPO creatie.

Zelfstudie-groepsbeleidsobject – NTLM-aanmeldingsgebeurtenissen controleren

Na het toepassen van de GPO moet u 10 of 20 minuten wachten.

Gedurende deze periode wordt de GPO gerepliceerd naar andere domeincontrollers.

Start op een externe computer een verhoogde Powershell-opdrachtregel.

Controleer de lijst met NTLM-gebeurtenissen die worden geregistreerd.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Id Description
  -- -----------
 100 NTLM authentication failed because the account was a member of the Protected User group....
 101 NTLM authentication failed because access control restrictions are required....
 301 NTLM authentication succeded, but it will fail when Authentication Policy is enforced because access control restrictions are required....
4001 NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked....
4002 NTLM server blocked: Incoming NTLM traffic to servers that is blocked...
4003 NTLM server blocked in the domain: NTLM authentication in this domain that is blocked...
4010 NTLM Minimum Client Security Block:...
4011 NTLM Minimum Server Security Block:...
4012 NTLM client used the domain password. The attempt to use the DC-generated NTLM secret failed, and fallback to the domain password succeeded....
4013 Attempt to use NTLMv1 failed....
8001 NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8002 NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8003 NTLM server blocked in the domain audit: Audit NTLM authentication in this domain...

NTLM-aanmeldingsgebeurtenissen weergeven.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

TimeCreated                      Id LevelDisplayName Message
-----------                      -- ---------------- -------
8/5/2022 3:53:12 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:50:25 AM            8001 Information      NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8/5/2022 3:50:25 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:53 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:52 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:51 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:50 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:49 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:48 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:47 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...

Maak een lijst van specifieke NTLM-gebeurtenissen.

Copy to Clipboard

Meer informatie over het laatste NTLM-evenement.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

In ons voorbeeld hebben we een groepsbeleidsobject geconfigureerd om NTLM-succes- en -mislukkingsgebeurtenissen te controleren.

Groepsbeleidsobject – Controleer de NTLM-verificatie

Groepsbeleidsobject – Controleer de NTLM-verificatie

Uitrustingslijst

Windows Gerelateerde zelfstudie:

Zelfstudie-groepsbeleidsobject – Controleer de NTLM-verificatie

Zelfstudie-groepsbeleidsobject – NTLM-aanmeldingsgebeurtenissen controleren

Groepsbeleidsobject – Controleer de NTLM-verificatie

Groepsbeleidsobject – Controleer de NTLM-verificatie

Uitrustingslijst

Windows Gerelateerde zelfstudie:

Zelfstudie-groepsbeleidsobject – Controleer de NTLM-verificatie

Zelfstudie-groepsbeleidsobject – NTLM-aanmeldingsgebeurtenissen controleren

Related Posts