Vil du lære hvordan du konfigurerer en gruppepolicy for å overvåke NTLM-autentiseringssuksess og -feil? I denne opplæringen vil vi vise deg hvordan du konfigurerer NTLM-autentiseringsrevisjonsfunksjonen ved hjelp av en GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 11

Liste over utstyr

Her finner du listen over utstyr som brukes til å lage denne opplæringen.

Denne koblingen vil også vise programvarelisten som brukes til å lage denne opplæringen.

Opplæring GPO - Overvåk NTLM-autentiseringen

Åpne verktøyet for gruppepolicybehandling på domenekontrolleren.

Windows - Group Policy management

Rediger standard domenepolicy.

GPO - Default domain policy

Utvid datamaskinkonfigurasjonsmappen på skjermbildet redigeringsprogram for gruppepolicy, og finn følgende element.

Copy to Clipboard

Få tilgang til mappen Kalt Sikkerhetsalternativer.

GPO - Default domain - local security options

Rediger konfigurasjonselementet som heter Nettverkssikkerhet: Begrens NTLM: Overvåk innkommende NTLM-trafikk.

Aktiver alternativene for revisjon for alle kontoer.

GPO - Audit Incoming NTLM

Rediger konfigurasjonselementet som heter Nettverkssikkerhet: Begrens NTLM: Utgående NTLM-trafikk til eksterne servere.

Aktiver alternativene for å revidere alle.

GPO - Audit Outgoing NTLM

Hvis du vil lagre konfigurasjonen av gruppepolicy, må du lukke redigeringsprogrammet for gruppepolicy.

Rediger standardpolicyen for domenekontrollere.

GPO - Default domain controllers policy

Utvid datamaskinkonfigurasjonsmappen på skjermbildet redigeringsprogram for gruppepolicy, og finn følgende element.

Copy to Clipboard

Få tilgang til mappen Kalt Sikkerhetsalternativer.

GPO - Default domain controllers - Security Options

Rediger konfigurasjonselementet som heter Nettverkssikkerhet: Begrens NTLM: Overvåk NTLM-autentisering i dette domenet.

Velg alternativet Aktiver alle.

GPO - Audit NTLM authentication in this domain

Hvis du vil lagre konfigurasjonen av gruppepolicy, må du lukke redigeringsprogrammet for gruppepolicy.

Gratulerer! Du er ferdig med GPO-opprettelsen.

Opplæring GPO - Overvåke NTLM-påloggingshendelser

Etter påføring av gruppepolicyobjektet må du vente i 10 eller 20 minutter.

I løpet av denne tiden vil Gruppepolicyobjektet bli replikert til andre domenekontrollere.

Start en hevet Powershell-kommandolinje på en ekstern datamaskin.

Windows 10 - powershell elevated

Bekreft listen over NTLM-hendelser som vil bli logget.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Liste NTLM-påloggingshendelser.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

List opp spesifikke NTLM-hendelser.

Copy to Clipboard

Få detaljer fra det siste NTLM-arrangementet.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

I vårt eksempel konfigurerte vi en GPO til å revidere NTLM suksess- og fiaskohendelser.