Opplæring GPO - Overvåk NTLM-autentiseringen [Trinn for trinn]

Vil du lære hvordan du konfigurerer en gruppepolicy for å overvåke NTLM-autentiseringssuksess og -feil? I denne opplæringen vil vi vise deg hvordan du konfigurerer NTLM-autentiseringsrevisjonsfunksjonen ved hjelp av en GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11

Liste over utstyr

Her finner du listen over utstyr som brukes til å lage denne opplæringen.

Liste over utstyr

Denne koblingen vil også vise programvarelisten som brukes til å lage denne opplæringen.

Windows Relatert Tutorial:

På denne siden tilbyr vi rask tilgang til en liste over tutorials knyttet til Windows.

Opplæring GPO - Overvåk NTLM-autentiseringen

Åpne verktøyet for gruppepolicybehandling på domenekontrolleren.

Rediger standard domenepolicy.

Utvid datamaskinkonfigurasjonsmappen på skjermbildet redigeringsprogram for gruppepolicy, og finn følgende element.

Copy to Clipboard

Få tilgang til mappen Kalt Sikkerhetsalternativer.

GPO - Default domain - local security options

Rediger konfigurasjonselementet som heter Nettverkssikkerhet: Begrens NTLM: Overvåk innkommende NTLM-trafikk.

Aktiver alternativene for revisjon for alle kontoer.

Rediger konfigurasjonselementet som heter Nettverkssikkerhet: Begrens NTLM: Utgående NTLM-trafikk til eksterne servere.

Aktiver alternativene for å revidere alle.

Hvis du vil lagre konfigurasjonen av gruppepolicy, må du lukke redigeringsprogrammet for gruppepolicy.

Rediger standardpolicyen for domenekontrollere.

Utvid datamaskinkonfigurasjonsmappen på skjermbildet redigeringsprogram for gruppepolicy, og finn følgende element.

Copy to Clipboard

Få tilgang til mappen Kalt Sikkerhetsalternativer.

GPO - Default domain controllers - Security Options

Rediger konfigurasjonselementet som heter Nettverkssikkerhet: Begrens NTLM: Overvåk NTLM-autentisering i dette domenet.

Velg alternativet Aktiver alle.

GPO - Audit NTLM authentication in this domain

Hvis du vil lagre konfigurasjonen av gruppepolicy, må du lukke redigeringsprogrammet for gruppepolicy.

Gratulerer! Du er ferdig med GPO-opprettelsen.

Opplæring GPO - Overvåke NTLM-påloggingshendelser

Etter påføring av gruppepolicyobjektet må du vente i 10 eller 20 minutter.

I løpet av denne tiden vil Gruppepolicyobjektet bli replikert til andre domenekontrollere.

Start en hevet Powershell-kommandolinje på en ekstern datamaskin.

Bekreft listen over NTLM-hendelser som vil bli logget.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

Id Description
  -- -----------
 100 NTLM authentication failed because the account was a member of the Protected User group....
 101 NTLM authentication failed because access control restrictions are required....
 301 NTLM authentication succeded, but it will fail when Authentication Policy is enforced because access control restrictions are required....
4001 NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked....
4002 NTLM server blocked: Incoming NTLM traffic to servers that is blocked...
4003 NTLM server blocked in the domain: NTLM authentication in this domain that is blocked...
4010 NTLM Minimum Client Security Block:...
4011 NTLM Minimum Server Security Block:...
4012 NTLM client used the domain password. The attempt to use the DC-generated NTLM secret failed, and fallback to the domain password succeeded....
4013 Attempt to use NTLMv1 failed....
8001 NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8002 NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8003 NTLM server blocked in the domain audit: Audit NTLM authentication in this domain...

Liste NTLM-påloggingshendelser.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

TimeCreated                      Id LevelDisplayName Message
-----------                      -- ---------------- -------
8/5/2022 3:53:12 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:50:25 AM            8001 Information      NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8/5/2022 3:50:25 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:53 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:52 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:51 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:50 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:49 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:48 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:47 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...

List opp spesifikke NTLM-hendelser.

Copy to Clipboard

Få detaljer fra det siste NTLM-arrangementet.

Copy to Clipboard

Her er kommandoutdataene.

Copy to Clipboard

I vårt eksempel konfigurerte vi en GPO til å revidere NTLM suksess- og fiaskohendelser.

GPO – Revider NTLM-autentiseringen

GPO – Revider NTLM-autentiseringen

Liste over utstyr

Windows Relatert Tutorial:

Opplæring GPO - Overvåk NTLM-autentiseringen

Opplæring GPO - Overvåke NTLM-påloggingshendelser

GPO – Revider NTLM-autentiseringen

GPO – Revider NTLM-autentiseringen

Liste over utstyr

Windows Relatert Tutorial:

Opplæring GPO - Overvåk NTLM-autentiseringen

Opplæring GPO - Overvåke NTLM-påloggingshendelser

Related Posts