Gostaria de saber como configurar uma política de grupo para auditar o sucesso e o fracasso da autenticação NTLM? Neste tutorial, mostraremos como configurar o recurso de auditoria de autenticação NTLM usando um GPO.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 11

Lista de equipamentos

Aqui você pode encontrar a lista de equipamentos usados para criar este tutorial.

Este link também mostrará a lista de software usada para criar este tutorial.

Tutorial GPO - Audite a autenticação NTLM

No controlador de domínio, abra a ferramenta de gerenciamento de políticas de grupo.

Windows - Group Policy management

Editar a política de domínio padrão.

GPO - Default domain policy

Na tela do editor de política do grupo, expanda a pasta de configuração do computador e localize o seguinte item.

Copy to Clipboard

Acesse o diretório chamado Configurações de segurança.

GPO - Default domain - local security options

Editar o item de configuração chamado Segurança de rede: Restringir NTLM: Auditar o tráfego NTLM de entrada.

Habilite as opções de auditoria para todas as contas.

GPO - Audit Incoming NTLM

Editar o item de configuração chamado Segurança de rede: Restringir NTLM: Saída de tráfego NTLM para servidores remotos.

Habilite as opções para auditar tudo.

GPO - Audit Outgoing NTLM

Para salvar a configuração da política de grupo, você precisa fechar o editor de Política de Grupo.

Edite a política de controladores de domínio padrão.

GPO - Default domain controllers policy

Na tela do editor de política do grupo, expanda a pasta de configuração do computador e localize o seguinte item.

Copy to Clipboard

Acesse o diretório chamado Configurações de segurança.

GPO - Default domain controllers - Security Options

Editar o item de configuração chamado Segurança de rede: Restringir a autenticação NTLM: Audit NTLM neste domínio.

Selecione a opção Habilitar tudo.

GPO - Audit NTLM authentication in this domain

Para salvar a configuração da política de grupo, você precisa fechar o editor de Política de Grupo.

Parabéns! Você terminou a criação da GPO.

Tutorial GPO - Auditoria NTLM logon eventos

Depois de aplicar o GPO você precisa esperar por 10 ou 20 minutos.

Durante este tempo, o GPO será replicado para outros controladores de domínio.

Em um computador remoto, inicie uma linha de comando Powershell elevada.

Windows 10 - powershell elevated

Verifique a lista de eventos NTLM que serão registrados.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Liste os eventos de logon NTLM.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Liste eventos NTLM específicos.

Copy to Clipboard

Obtenha detalhes do último evento NTLM.

Copy to Clipboard

Aqui está a saída do comando.

Copy to Clipboard

Em nosso exemplo, configuramos um GPO para auditar eventos de sucesso e falha do NTLM.