Überwachen der Verwendung von NTLMv1 auf einem Windows Server-basierten Domänencontroller

  • Artikel

In diesem Artikel werden die Schritte zum Testen jeder Anwendung vorgestellt, die NT LAN Manager (NTLM) Version 1 auf einem Microsoft Windows Server-basierten Domänencontroller verwendet.

Gilt für: Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 4090105

Zusammenfassung

Warnung

Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.

Sie können diesen Test durchführen, bevor Sie Computer so festlegen, dass nur NTLMv2 verwendet wird. Um den Computer so zu konfigurieren, dass nur NTLMv2 verwendet wird, legen Sie LMCompatibilityLevel unter dem HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Schlüssel auf dem Domänencontroller auf 5 fest.

NTLM-Überwachung

Um Anwendungen zu finden, die NTLMv1 verwenden, aktivieren Sie die Erfolgreiche Anmeldungsüberwachung auf dem Domänencontroller, und suchen Sie dann nach Erfolgsüberwachungsereignis 4624, das Informationen zur Version von NTLM enthält.

Sie erhalten Ereignisprotokolle, die den folgenden ähneln:

Sample Event ID: 4624  
Source: Microsoft-Windows-Security-Auditing  
Event ID: 4624  
Task Category: Logon  
Level: Information  
Keywords: Audit Success  
Description:  
An account was successfully logged on.  
Subject:  
Security ID: NULL SID  
Account Name: -  
Account Domain: -  
Logon ID: 0x0  
Logon Type: 3  

New Logon:  
Security ID: ANONYMOUS LOGON  
Account Name: ANONYMOUS LOGON  
Account Domain: NT AUTHORITY  
Logon ID: 0xa2226a  
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:  
Process ID: 0x0  
Process Name: -  
Network Information:  
Workstation Name: Workstation1  
Source Network Address:\<ip address>  
Source Port: 49194

Detailed Authentication Information:  
Logon Process: NtLmSsp  
Authentication Package: NTLM  
Transited Services: -  
Package Name (NTLM only): NTLM V1  
Key Length: 128

Weitere Informationen

Diese Anmeldung im Ereignisprotokoll verwendet nicht wirklich die NTLMv1-Sitzungssicherheit. Es gibt tatsächlich keine Sitzungssicherheit, da kein Schlüsselmaterial vorhanden ist.

Die Logik der NTLM-Überwachung besteht darin, dass die NTLMv2-Authentifizierung protokolliert wird, wenn NTLMv2-Schlüsselmaterial in der Anmeldesitzung gefunden wird. Es protokolliert NTLMv1 in allen anderen Fällen, einschließlich anonymer Sitzungen. Daher wird allgemein empfohlen, das Ereignis für Informationen zur Verwendung des Sicherheitsprotokolls zu ignorieren, wenn das Ereignis für ANONYMOUS LOGON protokolliert wird.

Häufige Quellen für anonyme Anmeldesitzungen sind:

  • Computerbrowserdienst: Es handelt sich um einen Legacydienst von Windows 2000 und früheren Versionen von Windows. Der Dienst stellt Listen mit Computern und Domänen im Netzwerk bereit. Der Dienst wird im Hintergrund ausgeführt. Diese Daten werden jedoch heute nicht mehr verwendet. Es wird empfohlen, diesen Dienst unternehmensweit zu deaktivieren.

  • SID-Name Zuordnung: Es können anonyme Sitzungen verwendet werden. Weitere Informationen finden Sie unter Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen. Es wird empfohlen, dass Sie für diese Funktion eine Authentifizierung benötigen.

  • Clientanwendungen, die sich nicht authentifizieren: Der Anwendungsserver erstellt möglicherweise weiterhin eine Anmeldesitzung als anonym. Dies erfolgt auch, wenn leere Zeichenfolgen für Benutzername und Kennwort in der NTLM-Authentifizierung übergeben werden.