Vill du lära dig hur du konfigurerar en grupprincip för att granska NTLM-autentiseringen lyckades och misslyckades? I den här självstudien visar vi hur du konfigurerar granskningsfunktionen för NTLM-autentisering med hjälp av ett grupprincipobjekt.

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• Windows 11

Utrustning lista

Här kan du hitta listan över utrustning som används för att skapa denna tutorial.

Denna länk kommer också att visa programvaran lista som används för att skapa denna tutorial.

Självstudie-GPO – Granska NTLM-autentiseringen

Öppna verktyget grupprinciphantering på domänkontrollanten.

Windows - Group Policy management

Redigera standarddomänprincipen.

GPO - Default domain policy

Expandera konfigurationsmappen Dator på skärmen för redigeraren för grupprinciper och leta upp följande objekt.

Copy to Clipboard

Få åtkomst till mappen med namnet Säkerhetsalternativ.

GPO - Default domain - local security options

Redigera konfigurationsobjektet med namnet Nätverkssäkerhet: Begränsa NTLM: Granska inkommande NTLM-trafik.

Aktivera alternativen för granskning för alla konton.

GPO - Audit Incoming NTLM

Redigera konfigurationsobjektet med namnet Nätverkssäkerhet: Begränsa NTLM: Utgående NTLM-trafik till fjärrservrar.

Aktivera alternativen för att granska alla.

GPO - Audit Outgoing NTLM

Om du vill spara grupprincipkonfigurationen måste du stänga redigeraren för grupprinciper.

Redigera standardprincipen för domänkontrollanter.

GPO - Default domain controllers policy

Expandera konfigurationsmappen Dator på skärmen för redigeraren för grupprinciper och leta upp följande objekt.

Copy to Clipboard

Få åtkomst till mappen med namnet Säkerhetsalternativ.

GPO - Default domain controllers - Security Options

Redigera konfigurationsobjektet med namnet Nätverkssäkerhet: Begränsa NTLM: Granska NTLM-autentisering i den här domänen.

Välj alternativet Aktivera alla.

GPO - Audit NTLM authentication in this domain

Om du vill spara grupprincipkonfigurationen måste du stänga redigeraren för grupprinciper.

Grattis! Du har avslutat GPO-skapelsen.

Självstudie-GPO – Granska NTLM-inloggningshändelser

Efter applicering av GPO måste du vänta i 10 eller 20 minuter.

Under denna tid kommer GPO att replikeras till andra domänkontrollanter.

Starta en förhöjd Powershell-kommandorad på en fjärrdator.

Windows 10 - powershell elevated

Kontrollera listan över NTLM-händelser som ska loggas.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Lista NTLM-inloggningshändelser.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

Lista specifika NTLM-händelser.

Copy to Clipboard

Hämta information från den senaste NTLM-händelsen.

Copy to Clipboard

Här är kommandot utgång.

Copy to Clipboard

I vårt exempel konfigurerade vi ett grupprincipobjekt för att granska NTLM-framgångs- och felhändelser.