Gostaria de saber como configurar uma política de grupo para auditar o sucesso e o fracasso da autenticação NTLM? Neste tutorial, mostraremos como configurar o recurso de auditoria de autenticação NTLM usando um GPO.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Lista de equipamentos

Aqui você pode encontrar a lista de equipamentos usados para criar este tutorial.

Este link também mostrará a lista de software usada para criar este tutorial.

Tutorial relacionado ao Windows:

Nesta página, oferecemos acesso rápido a uma lista de tutoriais relacionados ao Windows.

Tutorial GPO – Audite a autenticação NTLM

No controlador de domínio, abra a ferramenta de gerenciamento de políticas de grupo.

Windows - Group Policy management

Editar a política de domínio padrão.

GPO - Default domain policy

Na tela do editor de política do grupo, expanda a pasta de configuração do computador e localize o seguinte item.

Copy to Clipboard

Acesse o diretório chamado Configurações de segurança.

GPO - Default domain - local security options

Editar o item de configuração chamado Segurança de rede: Restringir NTLM: Auditar o tráfego NTLM de entrada.

Habilite as opções de auditoria para todas as contas.

GPO - Audit Incoming NTLM

Editar o item de configuração chamado Segurança de rede: Restringir NTLM: Saída de tráfego NTLM para servidores remotos.

Habilite as opções para auditar tudo.

GPO - Audit Outgoing NTLM

Para salvar a configuração da política de grupo, você precisa fechar o editor de Política de Grupo.

Edite a política de controladores de domínio padrão.

GPO - Default domain controllers policy

Na tela do editor de política do grupo, expanda a pasta de configuração do computador e localize o seguinte item.

Copy to Clipboard

Acesse o diretório chamado Configurações de segurança.

GPO - Default domain controllers - Security Options

Editar o item de configuração chamado Segurança de rede: Restringir a autenticação NTLM: Audit NTLM neste domínio.

Selecione a opção Habilitar tudo.

GPO - Audit NTLM authentication in this domain

Para salvar a configuração da política de grupo, você precisa fechar o editor de Política de Grupo.

Parabéns! Você terminou a criação da GPO.

Tutorial GPO – Auditoria NTLM logon eventos

Depois de aplicar o GPO você precisa esperar por 10 ou 20 minutos.

Durante este tempo, o GPO será replicado para outros controladores de domínio.

Em um computador remoto, inicie uma linha de comando Powershell elevada.

Windows 10 - powershell elevated

Verifique a lista de eventos NTLM que serão registrados.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Liste os eventos de logon NTLM.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Liste eventos NTLM específicos.

Copy to Clipboard

Obtenha detalhes do último evento NTLM.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Em nosso exemplo, configuramos um GPO para auditar eventos de sucesso e falha do NTLM.