Учебник GPO - Аудит аутентификации NTLM [ Шаг за шагом ]

Хотите узнать, как настроить групповую политику для аудита успешности и сбоя проверки подлинности NTLM? В этом учебнике мы покажем вам, как настроить функцию аудита проверки подлинности NTLM с помощью объекта групповой политики.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Список оборудования

Здесь вы можете найти список оборудования, используемого для создания этого учебника.

Список оборудования

Эта ссылка будет также показать список программного обеспечения, используемого для создания этого учебника.

Windows Связанные Учебник:

На этой странице мы предлагаем быстрый доступ к списку учебников, связанных с Windows.

Учебник GPO — Аудит проверки подлинности NTLM

На контроллере домена откройте инструмент управления групповой политикой.

Измените политику домена по умолчанию.

На экране редактора групповой политики расширьте папку конфигурации компьютера и найдите следующий элемент.

Copy to Clipboard

Доступ к папке под названием Параметры безопасности.

GPO - Default domain - local security options

Измените элемент конфигурации с именем Сетевая безопасность: Ограничить NTLM: Аудит входящего трафика NTLM.

Включите параметры аудита для всех учетных записей.

Измените элемент конфигурации с именем Сетевая безопасность: Ограничить NTLM: исходящий трафик NTLM на удаленные серверы.

Включите параметры для аудита всех.

Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.

Редактировать политику контроллеров доменов по умолчанию.

На экране редактора групповой политики расширьте папку конфигурации компьютера и найдите следующий элемент.

Copy to Clipboard

Доступ к папке под названием Параметры безопасности.

GPO - Default domain controllers - Security Options

Измените элемент конфигурации с именем Сетевая безопасность: Ограничить NTLM: Аудит проверки подлинности NTLM в этом домене.

Выберите параметр Включить все.

GPO - Audit NTLM authentication in this domain

Чтобы сохранить конфигурацию групповой политики, необходимо закрыть редактор групповой политики.

Поздравляю! Вы закончили создание GPO.

Учебное пособие GPO — Аудит событий входа NTLM

После применения GPO вам нужно подождать 10 или 20 минут.

В течение этого времени GPO будет реплицироваться на другие контроллеры доменов.

На удаленном компьютере запустите повышенную командную линию Powershell.

Проверьте список событий NTLM, которые будут записываться в журнал.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

Id Description
  -- -----------
 100 NTLM authentication failed because the account was a member of the Protected User group....
 101 NTLM authentication failed because access control restrictions are required....
 301 NTLM authentication succeded, but it will fail when Authentication Policy is enforced because access control restrictions are required....
4001 NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked....
4002 NTLM server blocked: Incoming NTLM traffic to servers that is blocked...
4003 NTLM server blocked in the domain: NTLM authentication in this domain that is blocked...
4010 NTLM Minimum Client Security Block:...
4011 NTLM Minimum Server Security Block:...
4012 NTLM client used the domain password. The attempt to use the DC-generated NTLM secret failed, and fallback to the domain password succeeded....
4013 Attempt to use NTLMv1 failed....
8001 NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8002 NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8003 NTLM server blocked in the domain audit: Audit NTLM authentication in this domain...

Список событий входа NTLM.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

TimeCreated                      Id LevelDisplayName Message
-----------                      -- ---------------- -------
8/5/2022 3:53:12 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:50:25 AM            8001 Information      NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8/5/2022 3:50:25 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:53 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:52 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:51 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:50 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:49 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:48 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:47 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...

Перечислите конкретные события NTLM.

Copy to Clipboard

Получите сведения о последнем событии NTLM.

Copy to Clipboard

Вот вывод команды.

Copy to Clipboard

В нашем примере мы настроили объект групповой политики для аудита событий успеха и сбоя NTLM.

Объект групповой политики — аудит проверки подлинности NTLM

Объект групповой политики — аудит проверки подлинности NTLM

Список оборудования

Windows Связанные Учебник:

Учебник GPO — Аудит проверки подлинности NTLM

Учебное пособие GPO — Аудит событий входа NTLM

Объект групповой политики — аудит проверки подлинности NTLM

Объект групповой политики — аудит проверки подлинности NTLM

Список оборудования

Windows Связанные Учебник:

Учебник GPO — Аудит проверки подлинности NTLM

Учебное пособие GPO — Аудит событий входа NTLM

Related Posts