Tutorial GPO - Audite a autenticação NTLM [ Passo a passo ]

Gostaria de saber como configurar uma política de grupo para auditar o sucesso e o fracasso da autenticação NTLM? Neste tutorial, mostraremos como configurar o recurso de auditoria de autenticação NTLM usando um GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 2022
• Windows 10
• Windows 11

Lista de equipamentos

Aqui você pode encontrar a lista de equipamentos usados para criar este tutorial.

Lista de equipamentos

Este link também mostrará a lista de software usada para criar este tutorial.

Tutorial relacionado ao Windows:

Nesta página, oferecemos acesso rápido a uma lista de tutoriais relacionados ao Windows.

Tutorial GPO - Audite a autenticação NTLM

No controlador de domínio, abra a ferramenta de gerenciamento de políticas de grupo.

Editar a política de domínio padrão.

Na tela do editor de política do grupo, expanda a pasta de configuração do computador e localize o seguinte item.

Copy to Clipboard

Acesse o diretório chamado Configurações de segurança.

GPO - Default domain - local security options

Editar o item de configuração chamado Segurança de rede: Restringir NTLM: Auditar o tráfego NTLM de entrada.

Habilite as opções de auditoria para todas as contas.

Editar o item de configuração chamado Segurança de rede: Restringir NTLM: Saída de tráfego NTLM para servidores remotos.

Habilite as opções para auditar tudo.

Para salvar a configuração da política de grupo, você precisa fechar o editor de Política de Grupo.

Edite a política de controladores de domínio padrão.

Na tela do editor de política do grupo, expanda a pasta de configuração do computador e localize o seguinte item.

Copy to Clipboard

Acesse o diretório chamado Configurações de segurança.

GPO - Default domain controllers - Security Options

Editar o item de configuração chamado Segurança de rede: Restringir a autenticação NTLM: Audit NTLM neste domínio.

Selecione a opção Habilitar tudo.

GPO - Audit NTLM authentication in this domain

Para salvar a configuração da política de grupo, você precisa fechar o editor de Política de Grupo.

Parabéns! Você terminou a criação da GPO.

Tutorial GPO - Auditoria NTLM logon eventos

Depois de aplicar o GPO você precisa esperar por 10 ou 20 minutos.

Durante este tempo, o GPO será replicado para outros controladores de domínio.

Em um computador remoto, inicie uma linha de comando Powershell elevada.

Verifique a lista de eventos NTLM que serão registrados.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Id Description
  -- -----------
 100 NTLM authentication failed because the account was a member of the Protected User group....
 101 NTLM authentication failed because access control restrictions are required....
 301 NTLM authentication succeded, but it will fail when Authentication Policy is enforced because access control restrictions are required....
4001 NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked....
4002 NTLM server blocked: Incoming NTLM traffic to servers that is blocked...
4003 NTLM server blocked in the domain: NTLM authentication in this domain that is blocked...
4010 NTLM Minimum Client Security Block:...
4011 NTLM Minimum Server Security Block:...
4012 NTLM client used the domain password. The attempt to use the DC-generated NTLM secret failed, and fallback to the domain password succeeded....
4013 Attempt to use NTLMv1 failed....
8001 NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8002 NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8003 NTLM server blocked in the domain audit: Audit NTLM authentication in this domain...

Liste os eventos de logon NTLM.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

TimeCreated                      Id LevelDisplayName Message
-----------                      -- ---------------- -------
8/5/2022 3:53:12 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:50:25 AM            8001 Information      NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8/5/2022 3:50:25 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:53 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:52 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:51 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:50 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:49 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:48 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:47 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...

Liste eventos NTLM específicos.

Copy to Clipboard

Obtenha detalhes do último evento NTLM.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Em nosso exemplo, configuramos um GPO para auditar eventos de sucesso e falha do NTLM.

GPO - Auditar a autenticação NTLM

GPO - Auditar a autenticação NTLM

Lista de equipamentos

Tutorial relacionado ao Windows:

Tutorial GPO - Audite a autenticação NTLM

Tutorial GPO - Auditoria NTLM logon eventos

GPO - Auditar a autenticação NTLM

GPO - Auditar a autenticação NTLM

Lista de equipamentos

Tutorial relacionado ao Windows:

Tutorial GPO - Audite a autenticação NTLM

Tutorial GPO - Auditoria NTLM logon eventos

Related Posts