Überwachen der Verwendung von NTLMv1 auf einem Windows Server-basierten Domänencontroller
In diesem Artikel werden die Schritte zum Testen jeder Anwendung vorgestellt, die NT LAN Manager (NTLM) Version 1 auf einem Microsoft Windows Server-basierten Domänencontroller verwendet.
Gilt für: Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 4090105
Zusammenfassung
Warnung
Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.
Sie können diesen Test durchführen, bevor Sie Computer so festlegen, dass nur NTLMv2 verwendet wird. Um den Computer so zu konfigurieren, dass nur NTLMv2 verwendet wird, legen Sie LMCompatibilityLevel unter dem HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Schlüssel auf dem Domänencontroller auf 5 fest.
NTLM-Überwachung
Um Anwendungen zu finden, die NTLMv1 verwenden, aktivieren Sie die Erfolgreiche Anmeldungsüberwachung auf dem Domänencontroller, und suchen Sie dann nach Erfolgsüberwachungsereignis 4624, das Informationen zur Version von NTLM enthält.
Sie erhalten Ereignisprotokolle, die den folgenden ähneln:
Sample Event ID: 4624
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xa2226a
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: Workstation1
Source Network Address:\<ip address>
Source Port: 49194
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
Weitere Informationen
Diese Anmeldung im Ereignisprotokoll verwendet nicht wirklich die NTLMv1-Sitzungssicherheit. Es gibt tatsächlich keine Sitzungssicherheit, da kein Schlüsselmaterial vorhanden ist.
Die Logik der NTLM-Überwachung besteht darin, dass die NTLMv2-Authentifizierung protokolliert wird, wenn NTLMv2-Schlüsselmaterial in der Anmeldesitzung gefunden wird. Es protokolliert NTLMv1 in allen anderen Fällen, einschließlich anonymer Sitzungen. Daher wird allgemein empfohlen, das Ereignis für Informationen zur Verwendung des Sicherheitsprotokolls zu ignorieren, wenn das Ereignis für ANONYMOUS LOGON protokolliert wird.
Häufige Quellen für anonyme Anmeldesitzungen sind:
Computerbrowserdienst: Es handelt sich um einen Legacydienst von Windows 2000 und früheren Versionen von Windows. Der Dienst stellt Listen mit Computern und Domänen im Netzwerk bereit. Der Dienst wird im Hintergrund ausgeführt. Diese Daten werden jedoch heute nicht mehr verwendet. Es wird empfohlen, diesen Dienst unternehmensweit zu deaktivieren.
SID-Name Zuordnung: Es können anonyme Sitzungen verwendet werden. Weitere Informationen finden Sie unter Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen. Es wird empfohlen, dass Sie für diese Funktion eine Authentifizierung benötigen.
Clientanwendungen, die sich nicht authentifizieren: Der Anwendungsserver erstellt möglicherweise weiterhin eine Anmeldesitzung als anonym. Dies erfolgt auch, wenn leere Zeichenfolgen für Benutzername und Kennwort in der NTLM-Authentifizierung übergeben werden.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für