Självstudie-GPO – Granska NTLM-autentiseringen [ Steg för steg ]

Vill du lära dig hur du konfigurerar en grupprincip för att granska NTLM-autentiseringen lyckades och misslyckades? I den här självstudien visar vi hur du konfigurerar granskningsfunktionen för NTLM-autentisering med hjälp av ett grupprincipobjekt.

• Windows 2012 R2 • Windows 2016 • Windows 2019 • Windows 2022 • Windows 10 • Windows 11

Utrustning lista

Här kan du hitta listan över utrustning som används för att skapa denna tutorial.

Utrustning lista

Denna länk kommer också att visa programvaran lista som används för att skapa denna tutorial.

Windows Relaterad självstudie:

På den här sidan erbjuder vi snabb tillgång till en lista med självstudier relaterade till Windows.

Självstudie-GPO – Granska NTLM-autentiseringen

Öppna verktyget grupprinciphantering på domänkontrollanten.

Redigera standarddomänprincipen.

Expandera konfigurationsmappen Dator på skärmen för redigeraren för grupprinciper och leta upp följande objekt.

Copy to Clipboard

Få åtkomst till mappen med namnet Säkerhetsalternativ.

GPO - Default domain - local security options

Redigera konfigurationsobjektet med namnet Nätverkssäkerhet: Begränsa NTLM: Granska inkommande NTLM-trafik.

Aktivera alternativen för granskning för alla konton.

Redigera konfigurationsobjektet med namnet Nätverkssäkerhet: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar.

Aktivera alternativen för att granska alla.

Om du vill spara grupprincipkonfigurationen måste du stänga redigeraren för grupprinciper.

Redigera standardprincipen för domänkontrollanter.

Expandera konfigurationsmappen Dator på skärmen för redigeraren för grupprinciper och leta upp följande objekt.

Copy to Clipboard

Få åtkomst till mappen med namnet Säkerhetsalternativ.

GPO - Default domain controllers - Security Options

Redigera konfigurationsobjektet med namnet Nätverkssäkerhet: Begränsa NTLM: Granska NTLM-autentisering i den här domänen.

Välj alternativet Aktivera alla.

GPO - Audit NTLM authentication in this domain

Om du vill spara grupprincipkonfigurationen måste du stänga redigeraren för grupprinciper.

Grattis! Du har avslutat GPO-skapelsen.

Självstudie-GPO – Granska NTLM-inloggningshändelser

Efter applicering av GPO måste du vänta i 10 eller 20 minuter.

Under denna tid kommer GPO att replikeras till andra domänkontrollanter.

Starta en förhöjd Powershell-kommandorad på en fjärrdator.

Kontrollera listan över NTLM-händelser som ska loggas.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Id Description
  -- -----------
 100 NTLM authentication failed because the account was a member of the Protected User group....
 101 NTLM authentication failed because access control restrictions are required....
 301 NTLM authentication succeded, but it will fail when Authentication Policy is enforced because access control restrictions are required....
4001 NTLM client blocked: Outgoing NTLM authentication traffic to remote servers that is blocked....
4002 NTLM server blocked: Incoming NTLM traffic to servers that is blocked...
4003 NTLM server blocked in the domain: NTLM authentication in this domain that is blocked...
4010 NTLM Minimum Client Security Block:...
4011 NTLM Minimum Server Security Block:...
4012 NTLM client used the domain password. The attempt to use the DC-generated NTLM secret failed, and fallback to the domain password succeeded....
4013 Attempt to use NTLMv1 failed....
8001 NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8002 NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8003 NTLM server blocked in the domain audit: Audit NTLM authentication in this domain...

Lista NTLM-inloggningshändelser.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

TimeCreated                      Id LevelDisplayName Message
-----------                      -- ---------------- -------
8/5/2022 3:53:12 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:50:25 AM            8001 Information      NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked....
8/5/2022 3:50:25 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:53 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:52 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:51 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:50 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:49 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:48 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...
8/5/2022 3:29:47 AM            8002 Information      NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked...

Lista specifika NTLM-händelser.

Copy to Clipboard

Hämta information från den senaste NTLM-händelsen.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

I vårt exempel konfigurerade vi ett grupprincipobjekt för att granska NTLM-framgångs- och felhändelser.

GPO – Granska NTLM-autentiseringen

GPO – Granska NTLM-autentiseringen

Utrustning lista

Windows Relaterad självstudie:

Självstudie-GPO – Granska NTLM-autentiseringen

Självstudie-GPO – Granska NTLM-inloggningshändelser

Related Posts