تاريخ النشر الأصلي: 11 يوليو 2025

معرف KB: 5064479

في هذه المقالة:

مقدمة

توفر هذه المقالة نظرة عامة على التغييرات القادمة على وظيفة تدقيق NT LAN Manager (NTLM) في Windows 11 والإصدار 24H2 Windows Server 2025. تم تصميم هذه التحسينات لزيادة الرؤية في نشاط مصادقة NTLM، مما يمكن المسؤولين من تحديد هوية المستخدمين، والأساس المنطقي لاستخدام NTLM، والمواقع المحددة التي يتم فيها استخدام NTLM داخل بيئة. يدعم التدقيق المحسن مراقبة الأمان المحسنة وتحديد تبعيات المصادقة القديمة.

الغرض من تغييرات تدقيق NTLM

لا تزال مصادقة NTLM موجودة في سيناريوهات المؤسسة المختلفة، غالبا بسبب التطبيقات والتكوينات القديمة. مع الإعلان عن إهمال NTLM وتعطيلها في المستقبل (راجع مدونة تكنولوجيا المعلومات في Windows تطور مصادقة Windows) تهدف ميزات التدقيق المحدثة إلى مساعدة المسؤولين في تحديد استخدام NTLM وفهم أنماط الاستخدام واكتشاف المخاطر الأمنية المحتملة، بما في ذلك استخدام الإصدار 1 من NT LAN Manager (NTLMv1).

سجلات تدقيق NTLM

يقدم Windows 11، الإصدار 24H2 Windows Server 2025 إمكانات تسجيل تدقيق NTLM جديدة للعملاء والخوادم ووحدات التحكم بالمجال. ينشئ كل مكون سجلات توفر معلومات مفصلة حول أحداث مصادقة NTLM. يمكن العثور على هذه السجلات في عارض الأحداث ضمن سجلات التطبيقات والخدمات > Microsoft > Windows > NTLM > التشغيلية.

بالمقارنة مع سجلات تدقيق NTLM الحالية، تسمح تغييرات التدقيق المحسنة الجديدة للمسؤولين بالإجابة على من ولماذا وأين:

  • من يستخدم NTLM، بما في ذلك الحساب والعملية على الجهاز.

  • لماذا تم اختيار مصادقة NTLM، بدلا من بروتوكولات المصادقة الحديثة مثل Kerberos.

  • حيث تحدث مصادقة NTLM، بما في ذلك كل من اسم الجهاز وعنوان IP للجهاز.

يوفر تدقيق NTLM المحسن أيضا معلومات حول استخدام NTLMv1 للعملاء والخوادم، بالإضافة إلى مجال استخدام NTLMv1 الذي سجلته وحدة التحكم بالمجال على مستوى المجال. ​​​​​​​

إدارة نهج المجموعة

ميزات تدقيق NTLM الجديدة قابلة للتكوين من خلال إعدادات نهج المجموعة المحدثة. يمكن للمسؤولين استخدام هذه النهج لتحديد أحداث مصادقة NTLM التي يتم تدقيقها وإدارة سلوك التدقيق عبر العملاء والخوادم ووحدات التحكم بالمجال حسب الاقتضاء لبيئتهم.

بشكل افتراضي، يتم تمكين الأحداث.

  • لتسجيل العميل والخادم، يتم التحكم في الأحداث من خلال نهج "التسجيل المحسن NTLM" ضمن القوالب الإدارية > النظام > NTLM.نهج التسجيل المحسن ل NTLM

  • للتسجيل على مستوى المجال على وحدة التحكم بالمجال، يتم التحكم في الأحداث من خلال نهج "Log Enhanced Domain-wide NTLM Logs" ضمن Administrative Templates > System > Netlogon.سجل نهج سجلات NTLM المحسنة على مستوى المجال

مستويات التدقيق

يتم تقسيم كل سجل تدقيق NTLM إلى معرفين مختلفين للحدث بنفس المعلومات التي تختلف فقط حسب مستوى الحدث:

  • المعلومات: يشير إلى أحداث NTLM القياسية، مثل مصادقة الإصدار 2 من NT LAN Manager (NTLMv2)، حيث لا يتم الكشف عن أي انخفاض في الأمان.

  • تحذير: يشير إلى الرجوع إلى إصدار أقدم من أمان NTLM، مثل استخدام NTLMv1. تسلط هذه الأحداث الضوء على المصادقة غير الآمنة. قد يتم وضع علامة على حدث على أنه "تحذير" لمثيلات مثل ما يلي:

    • تم الكشف عن استخدام NTLMv1 بواسطة العميل أو الخادم أو وحدة التحكم بالمجال.

    • تم وضع علامة على الحماية المحسنة للمصادقة على أنها غير مدعومة أو غير آمنة (لمزيد من المعلومات، راجع KB5021989: الحماية الموسعة للمصادقة).

    • لا يتم استخدام بعض ميزات أمان NTLM، مثل التحقق من تكامل الرسائل (MIC).

سجلات العميل

تسجل سجلات التدقيق الجديدة محاولات مصادقة NTLM الصادرة. توفر هذه السجلات تفاصيل حول التطبيقات أو الخدمات التي تبدأ اتصالات NTLM، جنبا إلى جنب مع بيانات التعريف ذات الصلة لكل طلب مصادقة.

يحتوي تسجيل العميل على حقل فريد، معرف الاستخدام/السبب، والذي يسلط الضوء على سبب استخدام مصادقة NTLM.

المعرّف

الوصف

0

سبب غير معروف.

1

تم استدعاء NTLM مباشرة بواسطة تطبيق الاستدعاء.

2

مصادقة حساب محلي.

3

محجوز، غير مستخدم حاليا.

4

مصادقة حساب سحابي.

5

كان الاسم الهدف مفقودا أو فارغا.

6

تعذر حل الاسم الهدف بواسطة Kerberos أو البروتوكولات الأخرى.

7

يحتوي الاسم الهدف على عنوان IP.

8

تم العثور على الاسم الهدف مكرر في Active Directory.

9

لا يمكن إنشاء خط رؤية باستخدام وحدة تحكم المجال.

10

تم استدعاء NTLM عبر واجهة التراجع.

11

تم استدعاء NTLM بجلسة عمل فارغة.

سجل الأحداث

Microsoft-Windows-NTLM/Operational

معرف الحدث

4020 (معلومات)، 4021 (تحذير)

مصدر الحدث

NTLM

نص الحدث

حاول هذا الجهاز المصادقة على مورد بعيد عبر NTLM.

معلومات العملية:

     اسم العملية:> اسم <

     معالجة PID:> PID <

معلومات العميل:

     اسم المستخدم:> اسم المستخدم <

     المجال:> اسم المجال <

     اسم المضيف:> اسم المضيف <

     نوع Sign-On:> <Sign-On الفردي / Creds المتوفرة

معلومات الهدف:

     الجهاز الهدف:> اسم الجهاز <

     المجال الهدف:> مجال الجهاز <

     المورد الهدف: <اسم الخدمة الأساسي (SPN) >

     عنوان IP الهدف:> عنوان IP <

     اسم الشبكة الهدف:> اسم الشبكة <

استخدام NTLM:

     معرف السبب:> معرف الاستخدام <

     السبب:> سبب الاستخدام <

أمان NTLM:

     العلامات المتفاوض عليها:> علامات <

     إصدار NTLM: <NTLMv2 / NTLMv1>

     حالة مفتاح الجلسة: < موجودة / مفقودة>

     ربط القناة: <> مدعومة / غير مدعومة

     ربط الخدمة: <اسم الخدمة الأساسي (SPN) >

     حالة MIC: < محمية / غير محمية>

     AvFlags: <علامات NTLM>

     سلسلة AvFlags: <سلسلة علامة NTLM>

لمزيد من المعلومات، راجع aka.ms/ntlmlogandblock.

سجلات الخادم

تسجل سجلات التدقيق الجديدة محاولات مصادقة NTLM الواردة. توفر هذه السجلات تفاصيل مماثلة حول مصادقة NTLM كسجلات العميل، بالإضافة إلى الإبلاغ عما إذا كانت مصادقة NTLM قد نجحت أم لا.

سجل الأحداث

Microsoft-Windows-NTLM/Operational

معرف الحدث

4022 (معلومات)، 4023 (تحذير)

مصدر الحدث

NTLM

نص الحدث

يستخدم العميل البعيد NTLM للمصادقة على محطة العمل هذه.

معلومات العملية:

     اسم العملية:> اسم <

     معالجة PID:> PID <

معلومات العميل عن بعد:

     اسم المستخدم:> اسم مستخدم العميل <

     المجال:> مجال العميل <

     جهاز العميل:> اسم جهاز العميل <

     عنوان IP للعميل:> IP للعميل <

     اسم شبكة العميل:> اسم شبكة العميل <

أمان NTLM:

     العلامات المتفاوض عليها:> علامات <

     إصدار NTLM: <NTLMv2 / NTLMv1>

     حالة مفتاح الجلسة: < موجودة / مفقودة>

     ربط القناة: <> مدعومة / غير مدعومة

     ربط الخدمة: <اسم الخدمة الأساسي (SPN) >

     حالة MIC: < محمية / غير محمية>

     AvFlags: <علامات NTLM>

     سلسلة AvFlags: <سلسلة علامة NTLM>

الحالة:> رمز الحالة <

رسالة الحالة:> سلسلة الحالة <

لمزيد من المعلومات، راجع aka.ms/ntlmlogandblock

سجلات وحدة التحكم بالمجال

تستفيد وحدات التحكم بالمجال من تدقيق NTLM المحسن، مع سجلات جديدة تسجل محاولات مصادقة NTLM الناجحة وغير الناجحة للمجال بأكمله. تدعم هذه السجلات تحديد استخدام NTLM عبر المجالات وتنبيه المسؤولين إلى إصدارات أقدم محتملة في أمان المصادقة، مثل مصادقة NTLMv1.

يتم إنشاء سجلات مختلفة لوحدة التحكم بالمجال اعتمادا على السيناريوهات التالية:

عندما ينتمي كل من حساب العميل وجهاز الخادم إلى نفس المجال، يتم إنشاء سجل مشابه لما يلي:

سجل الأحداث

Microsoft-Windows-NTLM/Operational

معرف الحدث

4032 (معلومات)، 4033 (تحذير)

مصدر الحدث

Security-Netlogon

نص الحدث

قام> DC <DC Name بمعالجة طلب مصادقة NTLM معاد توجيهه ينشأ من هذا المجال.

معلومات العميل:

     اسم العميل:> اسم المستخدم <

     مجال العميل:> مجال <

     جهاز العميل:> محطة عمل العميل <

معلومات الخادم:

     اسم الخادم:> اسم الجهاز لخادم <

     مجال الخادم:> مجال خادم <

     عنوان IP للخادم:> IP لخادم <

     نظام تشغيل الخادم:> نظام تشغيل خادم <

أمان NTLM:

     العلامات المتفاوض عليها:> علامات <

     إصدار NTLM: <NTLMv2 / NTLMv1>

     حالة مفتاح الجلسة: < موجودة / مفقودة>

     ربط القناة: <> مدعومة / غير مدعومة

     ربط الخدمة: <اسم الخدمة الأساسي (SPN) >

     حالة MIC: < محمية / غير محمية>

     AvFlags: <علامات NTLM>

     سلسلة AvFlags: <سلسلة علامة NTLM>

الحالة:> رمز الحالة <

رسالة الحالة:> سلسلة الحالة <

لمزيد من المعلومات، راجع aka.ms/ntlmlogandblock

إذا كان حساب العميل والخادم ينتميان إلى مجالات مختلفة، فسيكون لوحدة التحكم بالمجال سجلات مختلفة اعتمادا على ما إذا كانت وحدة التحكم بالمجال تنتمي إلى المجال حيث يوجد العميل (بدء المصادقة) أو مكان وجود الخادم (قبول المصادقة):

إذا كان الخادم ينتمي إلى نفس المجال مثل وحدة التحكم بالمجال التي تتعامل مع المصادقة، يتم إنشاء سجل مشابه ل "سجل المجال نفسه".

إذا كان حساب العميل ينتمي إلى نفس المجال مثل وحدة تحكم المجال التي تتعامل مع المصادقة، يتم إنشاء سجل مشابه للآتي:

سجل الأحداث

Microsoft-Windows-NTLM/Operational

معرف الحدث

4030 (معلومات)، 4031 (تحذير)

مصدر الحدث

Security-Netlogon

نص الحدث

قام> DC <DC Name بمعالجة طلب مصادقة NTLM معاد توجيهه ينشأ من هذا المجال.

معلومات العميل:

     اسم العميل:> اسم المستخدم <

     مجال العميل:> مجال <

     جهاز العميل:> محطة عمل العميل <

معلومات الخادم:

     اسم الخادم:> اسم الجهاز لخادم <

     مجال الخادم:> مجال خادم <

تمت إعادة التوجيه من:

     نوع القناة الآمنة: <معلومات القناة الآمنة ل Netlogon>

     Farside Name: <اسم جهاز DC عبر المجالات >

     المجال البعيد: <اسم المجال عبر المجالات>

     بروتوكول الإنترنت البعيد: <> IP DC عبر المجالات

أمان NTLM:

     العلامات المتفاوض عليها:> علامات <

     إصدار NTLM: <NTLMv2 / NTLMv1>

     حالة مفتاح الجلسة: < موجودة / مفقودة>

     ربط القناة: <> مدعومة / غير مدعومة

     ربط الخدمة: <اسم الخدمة الأساسي (SPN) >

     حالة MIC: < محمية / غير محمية>

     AvFlags: <علامات NTLM>

     سلسلة AvFlags: <سلسلة علامة NTLM>

الحالة:> رمز الحالة <

لمزيد من المعلومات، راجع aka.ms/ntlmlogandblock

العلاقة بين أحداث NTLM الجديدة والحالية

تعد أحداث NTLM الجديدة تحسينا على سجلات NTLM الحالية، مثل أمان الشبكة: تقييد مصادقة NTLM Audit NTLM في هذا المجال. لا تؤثر تغييرات تدقيق NTLM المحسنة على سجلات NTLM الحالية؛ إذا تم تمكين سجلات تدقيق NTLM الحالية، فسيستمر تسجيلها.

معلومات التوزيع

وفقا لنشر الميزات التي تتحكم فيها Microsoft (CFR)، سيتم طرح التغييرات تدريجيا أولا إلى أجهزة الإصدار 24H2 Windows 11، متبوعة لاحقا بأجهزة Windows Server 2025 بما في ذلك وحدات التحكم بالمجال.

يوزع الإطلاق التدريجي تحديث الإصدار على مدى فترة زمنية، بدلا من كل ذلك في وقت واحد. وهذا يعني أن المستخدمين يتلقون التحديثات في أوقات مختلفة، وقد لا تكون متاحة على الفور لجميع المستخدمين.

Facebook LinkedIn بريد إلكتروني

هل تحتاج إلى مزيد من المساعدة؟

الخروج من الخيارات إضافية؟

استكشف مزايا الاشتراك، واستعرض الدورات التدريبية، وتعرف على كيفية تأمين جهازك، والمزيد.

ميزات اشتراك Microsoft 365

تدريب Microsoft 365

أمان من Microsoft

مركز إمكانية وصول ذوي الاحتياجات الخاصة