Wilt u weten hoe u een groepsbeleid configureert om het succes en de mislukking van de NTLM-verificatie te controleren? In deze zelfstudie laten we u zien hoe u de NTLM-verificatiecontrolefunctie configureert met behulp van een groepsbeleidsobject.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 11

Uitrustingslijst

Hier vindt u de lijst met apparatuur die wordt gebruikt om deze zelfstudie te maken.

Deze link toont ook de softwarelijst die wordt gebruikt om deze zelfstudie te maken.

Zelfstudie-groepsbeleidsobject - Controleer de NTLM-verificatie

Open op de domeincontroller het hulpprogramma voor groepsbeleidsbeheer.

Windows - Group Policy management

Bewerk het standaarddomeinbeleid.

GPO - Default domain policy

Vouw in het scherm van de groepsbeleidseditor de map Computerconfiguratie uit en zoek het volgende item.

Copy to Clipboard

Toegang tot de map met de naam Beveiligingsopties.

GPO - Default domain - local security options

Het configuratie-item met de naam Netwerkbeveiliging bewerken: NTLM beperken: Inkomend NTLM-verkeer controleren.

Schakel de opties in om te controleren voor alle accounts.

GPO - Audit Incoming NTLM

Het configuratie-item met de naam Netwerkbeveiliging bewerken: NTLM beperken: Uitgaand NTLM-verkeer naar externe servers.

Schakel de opties in om alles te controleren.

GPO - Audit Outgoing NTLM

Als u de configuratie van het groepsbeleid wilt opslaan, moet u de editor groepsbeleid sluiten.

Bewerk het standaardbeleid voor domeincontrollers.

GPO - Default domain controllers policy

Vouw in het scherm van de groepsbeleidseditor de map Computerconfiguratie uit en zoek het volgende item.

Copy to Clipboard

Toegang tot de map met de naam Beveiligingsopties.

GPO - Default domain controllers - Security Options

Het configuratie-item met de naam Netwerkbeveiliging bewerken: NTLM beperken: NTLM-verificatie controleren in dit domein.

Selecteer de optie Alles inschakelen.

GPO - Audit NTLM authentication in this domain

Als u de configuratie van het groepsbeleid wilt opslaan, moet u de editor groepsbeleid sluiten.

Gefeliciteerd! Je bent klaar met de GPO creatie.

Zelfstudie-groepsbeleidsobject - NTLM-aanmeldingsgebeurtenissen controleren

Na het toepassen van de GPO moet u 10 of 20 minuten wachten.

Gedurende deze periode wordt de GPO gerepliceerd naar andere domeincontrollers.

Start op een externe computer een verhoogde Powershell-opdrachtregel.

Windows 10 - powershell elevated

Controleer de lijst met NTLM-gebeurtenissen die worden geregistreerd.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

NTLM-aanmeldingsgebeurtenissen weergeven.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

Maak een lijst van specifieke NTLM-gebeurtenissen.

Copy to Clipboard

Meer informatie over het laatste NTLM-evenement.

Copy to Clipboard

Hier is de opdrachtuitvoer.

Copy to Clipboard

In ons voorbeeld hebben we een groepsbeleidsobject geconfigureerd om NTLM-succes- en -mislukkingsgebeurtenissen te controleren.