是否要了解如何配置组策略以审核 NTLM 身份验证成功和失败? 在本教程中,我们将向您展示如何使用 GPO 配置 NTLM 身份验证审核功能。

• Windows 2012 R2
• Windows 2016
• Windows 2019
• Windows 10
• 视窗 11

设备列表

在这里,您可以找到用于创建本教程的设备列表。

此链接还将显示用于创建本教程的软件列表。

教程 GPO - 审核 NTLM 身份验证

在域控制器上,打开组策略管理工具。

Windows - Group Policy management

编辑默认域策略。

GPO - Default domain policy

在组策略编辑器屏幕上,展开"计算机配置"文件夹并找到以下项。

Copy to Clipboard

访问名为"安全"选项的文件夹。

GPO - Default domain - local security options

编辑名为“网络安全:限制 NTLM:审核传入 NTLM 流量”的配置项目。

启用用于审核所有帐户的选项。

GPO - Audit Incoming NTLM

编辑名为“网络安全:限制 NTLM:传出 NTLM 流量到远程服务器”的配置项目。

启用选项以审核所有选项。

GPO - Audit Outgoing NTLM

若要保存组策略配置,需要关闭组策略编辑器。

编辑默认域控制器策略。

GPO - Default domain controllers policy

在组策略编辑器屏幕上,展开"计算机配置"文件夹并找到以下项。

Copy to Clipboard

访问名为"安全"选项的文件夹。

GPO - Default domain controllers - Security Options

编辑名为“网络安全: 限制 NTLM:在此域中审核 NTLM 身份验证”的配置项目。

选择“全部启用”选项。

GPO - Audit NTLM authentication in this domain

若要保存组策略配置,需要关闭组策略编辑器。

祝贺! 您已完成 GPO 创建。

教程 GPO - 审核 NTLM 登录事件

应用 GPO 后,您需要等待 10 或 20 分钟。

在此期间,GPO 将复制到其他域控制器。

在远程计算机上,启动高架电源壳命令行。

Windows 10 - powershell elevated

验证将记录的 NTLM 事件的列表。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

列出 NTLM 登录事件。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

列出特定的 NTLM 事件。

Copy to Clipboard

从上次 NTLM 事件中获取详细信息。

Copy to Clipboard

下面是命令输出。

Copy to Clipboard

在我们的示例中,我们配置了一个 GPO 来审核 NTLM 成功和失败事件。