Αρχική ημερομηνία δημοσίευσης: 11 Ιουλίου 2025

KB ID: 5064479

Σε αυτό το άρθρο:

Εισαγωγή

Αυτό το άρθρο παρέχει μια επισκόπηση των επερχόμενων αλλαγών στις λειτουργίες ελέγχου nt LAN Manager (NTLM) στο Windows 11, έκδοση 24H2 και Windows Server 2025. Αυτές οι βελτιώσεις έχουν σχεδιαστεί για να αυξήσουν την ορατότητα στη δραστηριότητα ελέγχου ταυτότητας NTLM, επιτρέποντας στους διαχειριστές να προσδιορίζουν την ταυτότητα των χρηστών, το σκεπτικό για τη χρήση NTLM και τις συγκεκριμένες θέσεις όπου χρησιμοποιείται το NTLM σε ένα περιβάλλον. Ο βελτιωμένος έλεγχος υποστηρίζει βελτιωμένη παρακολούθηση ασφαλείας και προσδιορισμό των εξαρτήσεων ελέγχου ταυτότητας παλαιού τύπου.

Σκοπός των αλλαγών ελέγχου NTLM

Ο έλεγχος ταυτότητας NTLM εξακολουθεί να υπάρχει σε διάφορα εταιρικά σενάρια, συχνά λόγω εφαρμογών και ρυθμίσεων παραμέτρων παλαιού τύπου. Με την ανακοίνωση της απόσυρσης NTLM και της μελλοντικής απενεργοποίησης (ανατρέξτε στο Ιστολόγιο IT των Windows Η εξέλιξη του ελέγχου ταυτότητας των Windows) οι ενημερωμένες δυνατότητες ελέγχου προορίζονται για να βοηθήσουν τους διαχειριστές στον προσδιορισμό της χρήσης ntlm, στην κατανόηση των μοτίβων χρήσης και στον εντοπισμό πιθανών κινδύνων ασφαλείας, συμπεριλαμβανομένης της χρήσης του NT LAN Manager έκδοση 1 (NTLMv1).

Αρχεία καταγραφής ελέγχου NTLM

Windows 11, έκδοση 24H2 και Windows Server 2025 παρουσιάζουν νέες δυνατότητες καταγραφής ελέγχου NTLM για υπολογιστές-πελάτες, διακομιστές και ελεγκτές τομέα. Κάθε στοιχείο δημιουργεί αρχεία καταγραφής που παρέχουν λεπτομερείς πληροφορίες σχετικά με τα συμβάντα ελέγχου ταυτότητας NTLM. Μπορείτε να βρείτε αυτά τα αρχεία καταγραφής στο πρόγραμμα προβολής συμβάντων στην περιοχή Αρχεία καταγραφής εφαρμογών και υπηρεσιών > Λειτουργικό microsoft > Windows > NT > LM.

Σε σύγκριση με τα υπάρχοντα αρχεία καταγραφής ελέγχου NTLM, οι νέες βελτιωμένες αλλαγές ελέγχου επιτρέπουν στους διαχειριστές να απαντούν στα αρχεία καταγραφής Who, Why και Where:

  • Ποιος χρησιμοποιεί NTLM, συμπεριλαμβανομένου του λογαριασμού και της διεργασίας στον υπολογιστή.

  • Γιατί επιλέχθηκε έλεγχος ταυτότητας NTLM, αντί για σύγχρονα πρωτόκολλα ελέγχου ταυτότητας όπως το Kerberos.

  • Πού πραγματοποιείται ο έλεγχος ταυτότητας NTLM, συμπεριλαμβανομένου τόσο του ονόματος του υπολογιστή όσο και της IP του υπολογιστή.

Ο βελτιωμένος έλεγχος NTLM παρέχει επίσης πληροφορίες σχετικά με τη χρήση NTLMv1 για υπολογιστές-πελάτες και διακομιστές, καθώς και για το εύρος τομέα χρήσης NTLMv1 που καταγράφεται από τον ελεγκτή τομέα. ​​​​​​​

διαχείριση Πολιτική ομάδας

Οι νέες δυνατότητες ελέγχου NTLM είναι δυνατό να ρυθμιστούν μέσω ενημερωμένων ρυθμίσεων Πολιτική ομάδας. Οι διαχειριστές μπορούν να χρησιμοποιήσουν αυτές τις πολιτικές για να καθορίσουν ποια συμβάντα ελέγχου ταυτότητας NTLM ελέγχονται και για να διαχειριστούν τη συμπεριφορά του ελέγχου μεταξύ των πελατών, των διακομιστών και των ελεγκτών τομέα, ανάλογα με την περίπτωση για το περιβάλλον τους.

Από προεπιλογή, τα συμβάντα είναι ενεργοποιημένα.

  • Για την καταγραφή προγραμμάτων-πελατών και διακομιστών, τα συμβάντα ελέγχονται μέσω της πολιτικής "Βελτιωμένη καταγραφή NTLM" στην περιοχή Πρότυπα διαχείρισης > Σύστημα > NTLM.Πολιτική βελτιωμένης καταγραφής NTLM

  • Για την καταγραφή σε ολόκληρο τον τομέα στον ελεγκτή τομέα, τα συμβάντα ελέγχονται μέσω της πολιτικής "Καταγραφή εμπλουτισμένων αρχείων καταγραφής NTLM σε ολόκληρο τον τομέα" στην περιοχή Πρότυπα διαχείρισης > σύστημα > Netlogon.Πολιτική εμπλουτισμένων αρχείων καταγραφής NTLM για ολόκληρο τον τομέα

Επίπεδα ελέγχου

Κάθε αρχείο καταγραφής ελέγχου NTLM διαιρείται σε δύο διαφορετικά αναγνωριστικά συμβάντος με τις ίδιες πληροφορίες που διαφέρουν μόνο κατά επίπεδο συμβάντος:

  • Πληροφορίες: Υποδεικνύει τυπικά συμβάντα NTLM, όπως ο έλεγχος ταυτότητας NT LAN Manager έκδοση 2 (NTLMv2), όπου δεν εντοπίζεται μείωση της ασφάλειας.

  • Προειδοποίηση: Υποδεικνύει υποβάθμιση της ασφάλειας NTLM, όπως η χρήση ntlmv1. Αυτά τα συμβάντα επισημαίνουν τον μη ασφαλή έλεγχο ταυτότητας. Ένα συμβάν μπορεί να έχει επισημανθεί ως "Προειδοποίηση" για περιπτώσεις όπως οι εξής:

    • Χρήση NTLMv1 που εντοπίστηκε από τον υπολογιστή-πελάτη, το διακομιστή ή τον ελεγκτή τομέα.

    • Η Βελτιωμένη προστασία για έλεγχο ταυτότητας επισημαίνεται ως μη υποστηριζόμενη ή μη ασφαλής (για περισσότερες πληροφορίες, ανατρέξτε στο KB5021989: Εκτεταμένη προστασία για έλεγχο ταυτότητας).

    • Ορισμένες δυνατότητες ασφαλείας NTLM, όπως ο έλεγχος ακεραιότητας μηνυμάτων (MIC), δεν χρησιμοποιούνται.

Αρχεία καταγραφής προγράμματος-πελάτη

Τα νέα αρχεία καταγραφής ελέγχου καταγράφουν τις προσπάθειες εξερχόμενου ελέγχου ταυτότητας NTLM. Αυτά τα αρχεία καταγραφής παρέχουν λεπτομέρειες σχετικά με τις εφαρμογές ή τις υπηρεσίες που ξεκινούν συνδέσεις NTLM, μαζί με σχετικά μετα-δεδομένα για κάθε αίτηση ελέγχου ταυτότητας.

Η καταγραφή προγράμματος-πελάτη έχει ένα μοναδικό πεδίο, το αναγνωριστικό χρήσης/αιτία, το οποίο επισημαίνει γιατί χρησιμοποιήθηκε έλεγχος ταυτότητας NTLM.

ID

Περιγραφή

0

Άγνωστη αιτία.

1

Το NTLM κλήθηκε απευθείας από την εφαρμογή κλήσης.

2

Έλεγχος ταυτότητας τοπικού λογαριασμού.

3

RESERVED, προς το παρόν δεν χρησιμοποιείται.

4

Έλεγχος ταυτότητας ενός λογαριασμού cloud.

5

Το όνομα προορισμού έλειπε ή ήταν κενό.

6

Το όνομα προορισμού δεν επιλύθηκε με Kerberos ή άλλα πρωτόκολλα.

7

Το όνομα προορισμού περιέχει μια διεύθυνση IP.

8

Το όνομα προορισμού βρέθηκε να έχει αναπαραχθεί στην υπηρεσία καταλόγου Active Directory.

9

Δεν ήταν δυνατή η δημιουργία μιας γραμμής όρασης με έναν ελεγκτή τομέα.

10

NTLM κλήθηκε μέσω μιας διασύνδεσης loopback.

11

Το NTLM κλήθηκε με μια περίοδο λειτουργίας null.

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-NTLM/Operational

Αναγνωριστικό συμβάντος

4020 (Πληροφορίες), 4021 (Προειδοποίηση)

Προέλευση συμβάντος

NTLM

Κείμενο συμβάντος

Αυτός ο υπολογιστής προσπάθησε να πραγματοποιήσει έλεγχο ταυτότητας σε απομακρυσμένο πόρο μέσω NTLM.

Πληροφορίες διαδικασίας:

     Όνομα διεργασίας:> ονόματος <

     PID διαδικασίας:> PID <

Στοιχεία προγράμματος-πελάτη:

     Όνομα χρήστη: <όνομα χρήστη>

     Τομέας:> ονόματος τομέα <

     Hostname:> ονόματος κεντρικού υπολογιστή <

     τύπος Sign-On: <Sign-On / Παρεχόμενα creds>

Πληροφορίες προορισμού:

     Υπολογιστής-στόχος:> ονόματος υπολογιστή <

     Τομέας προορισμού:> τομέα υπολογιστή <

     Πόρος προορισμού: > κύριου ονόματος υπηρεσίας <(SPN)

     IP προορισμού:> διεύθυνσης IP <

     Όνομα δικτύου προορισμού: <> ονόματος δικτύου

Χρήση NTLM:

     Αναγνωριστικό αιτίας: <αναγνωριστικό χρήσης>

     Αιτία: <> αιτίας χρήσης

Ασφάλεια NTLM:

     Σημαίες με διαπραγμάτευση:> σημαίες <

     Έκδοση NTLM: <NTLMv2 / NTLMv1>

     Κατάσταση κλειδιού περιόδου λειτουργίας: < Παρουσίαση / Λείπει>

     Σύνδεση καναλιού: < υποστηρίζονται / δεν υποστηρίζονται>

     Σύνδεση υπηρεσίας: <κύριο όνομα υπηρεσίας (SPN)>

     Κατάσταση μικροφώνου: < προστατευμένο / μη προστατευμένο>

     AvFlags: <σημαίες NTLM>

     Συμβολοσειρά avFlags: <> σημαίας NTLM

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα aka.ms/ntlmlogandblock.

Αρχεία καταγραφής διακομιστή

Τα νέα αρχεία καταγραφής ελέγχου καταγράφουν εισερχόμενες προσπάθειες ελέγχου ταυτότητας NTLM. Αυτά τα αρχεία καταγραφής παρέχουν παρόμοιες λεπτομέρειες σχετικά με τον έλεγχο ταυτότητας NTLM με τα αρχεία καταγραφής του προγράμματος-πελάτη, καθώς και αναφέρουν εάν ο έλεγχος ταυτότητας NTLM ολοκληρώθηκε με επιτυχία ή όχι.

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-NTLM/Operational

Αναγνωριστικό συμβάντος

4022 (Πληροφορίες), 4023 (Προειδοποίηση)

Προέλευση συμβάντος

NTLM

Κείμενο συμβάντος

Ένας απομακρυσμένος υπολογιστής-πελάτης χρησιμοποιεί NTLM για τον έλεγχο ταυτότητας σε αυτόν το σταθμό εργασίας.

Πληροφορίες διαδικασίας:

     Όνομα διεργασίας:> ονόματος <

     PID διαδικασίας:> PID <

Πληροφορίες απομακρυσμένου προγράμματος-πελάτη:

     Όνομα χρήστη: <όνομα χρήστη πελάτη>

     Τομέας:> τομέα πελάτη <

     Υπολογιστής-πελάτης:> ονόματος υπολογιστή-πελάτη <

     IP υπολογιστή-πελάτη:> IP υπολογιστή-πελάτη <

     Όνομα δικτύου πελάτη: <όνομα δικτύου πελάτη>

Ασφάλεια NTLM:

     Σημαίες με διαπραγμάτευση:> σημαίες <

     Έκδοση NTLM: <NTLMv2 / NTLMv1>

     Κατάσταση κλειδιού περιόδου λειτουργίας: < Παρουσίαση / Λείπει>

     Σύνδεση καναλιού: < υποστηρίζονται / δεν υποστηρίζονται>

     Σύνδεση υπηρεσίας: <κύριο όνομα υπηρεσίας (SPN)>

     Κατάσταση μικροφώνου: < προστατευμένο / μη προστατευμένο>

     AvFlags: <σημαίες NTLM>

     Συμβολοσειρά avFlags: <> σημαίας NTLM

Κατάσταση:> κωδικού κατάστασης <

Μήνυμα κατάστασης: <> συμβολοσειράς κατάστασης

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα aka.ms/ntlmlogandblock

Αρχεία καταγραφής ελεγκτή τομέα

Οι ελεγκτές τομέα επωφελούνται από τον βελτιωμένο έλεγχο NTLM, με νέα αρχεία καταγραφής που αποτυπώνουν τόσο επιτυχημένες όσο και ανεπιτυχείς προσπάθειες ελέγχου ταυτότητας NTLM για ολόκληρο τον τομέα. Αυτά τα αρχεία καταγραφής υποστηρίζουν αναγνώριση της χρήσης NTLM μεταξύ τομέων και ειδοποιούν τους διαχειριστές για πιθανές υποβαθμίσεις στην ασφάλεια ελέγχου ταυτότητας, όπως ο έλεγχος ταυτότητας NTLMv1.

Δημιουργούνται διαφορετικά αρχεία καταγραφής ελεγκτών τομέα, ανάλογα με τα παρακάτω σενάρια:

Όταν τόσο ο λογαριασμός προγράμματος-πελάτη όσο και ο υπολογιστής-πελάτης ανήκουν στον ίδιο τομέα, δημιουργείται ένα αρχείο καταγραφής παρόμοιο με το ακόλουθο:

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-NTLM/Operational

Αναγνωριστικό συμβάντος

4032 (Πληροφορίες), 4033 (Προειδοποίηση)

Προέλευση συμβάντος

Security-Netlogon

Κείμενο συμβάντος

Το <dc name> διεκπεραιώθηκε μια προωθημένη αίτηση ελέγχου ταυτότητας NTLM που προέρχεται από αυτόν τον τομέα.

Στοιχεία προγράμματος-πελάτη:

     Όνομα προγράμματος-πελάτη: <όνομα χρήστη>

     Τομέας προγράμματος-πελάτη:> τομέα <

     Υπολογιστής-πελάτης:> σταθμού εργασίας υπολογιστή-πελάτη <

Πληροφορίες διακομιστή:

     Όνομα διακομιστή:> ονόματος υπολογιστή διακομιστή <

     Τομέας διακομιστή:> τομέα <server

     IP διακομιστή:> IP διακομιστή <

     Λειτουργικό σύστημα διακομιστή:> λειτουργικού συστήματος <Server

Ασφάλεια NTLM:

     Σημαίες με διαπραγμάτευση:> σημαίες <

     Έκδοση NTLM: <NTLMv2 / NTLMv1>

     Κατάσταση κλειδιού περιόδου λειτουργίας: < Παρουσίαση / Λείπει>

     Σύνδεση καναλιού: < υποστηρίζονται / δεν υποστηρίζονται>

     Σύνδεση υπηρεσίας: <κύριο όνομα υπηρεσίας (SPN)>

     Κατάσταση μικροφώνου: < προστατευμένο / μη προστατευμένο>

     AvFlags: <σημαίες NTLM>

     Συμβολοσειρά avFlags: <> σημαίας NTLM

Κατάσταση:> κωδικού κατάστασης <

Μήνυμα κατάστασης: <> συμβολοσειράς κατάστασης

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα aka.ms/ntlmlogandblock

Εάν ο λογαριασμός και ο διακομιστής του υπολογιστή-πελάτη ανήκουν σε διαφορετικούς τομείς, τότε ο ελεγκτής τομέα θα έχει διαφορετικά αρχεία καταγραφής ανάλογα με το εάν ο ελεγκτής τομέα ανήκει στον τομέα όπου βρίσκεται ο υπολογιστής-πελάτης (ξεκινά ο έλεγχος ταυτότητας) ή πού βρίσκεται ο διακομιστής (αποδεχόμενος τον έλεγχο ταυτότητας):

Εάν ο διακομιστής ανήκει στον ίδιο τομέα με τον ελεγκτή τομέα που χειρίζεται τον έλεγχο ταυτότητας, δημιουργείται ένα αρχείο καταγραφής παρόμοιο με το "Αρχείο καταγραφής ίδιου τομέα".

Εάν ο λογαριασμός υπολογιστή-πελάτη ανήκει στον ίδιο τομέα με τον ελεγκτή τομέα που χειρίζεται τον έλεγχο ταυτότητας, δημιουργείται ένα αρχείο καταγραφής παρόμοιο με το ακόλουθο:

Αρχείο καταγραφής συμβάντων

Microsoft-Windows-NTLM/Operational

Αναγνωριστικό συμβάντος

4030 (Πληροφορίες), 4031 (Προειδοποίηση)

Προέλευση συμβάντος

Security-Netlogon

Κείμενο συμβάντος

Το <dc name> διεκπεραιώθηκε μια προωθημένη αίτηση ελέγχου ταυτότητας NTLM που προέρχεται από αυτόν τον τομέα.

Στοιχεία προγράμματος-πελάτη:

     Όνομα προγράμματος-πελάτη: <όνομα χρήστη>

     Τομέας προγράμματος-πελάτη:> τομέα <

     Υπολογιστής-πελάτης:> σταθμού εργασίας υπολογιστή-πελάτη <

Πληροφορίες διακομιστή:

     Όνομα διακομιστή:> ονόματος υπολογιστή διακομιστή <

     Τομέας διακομιστή:> τομέα <server

Προωθήθηκε από:

     Ασφαλής τύπος καναλιού:> πληροφοριών ασφαλούς καναλιού <Netlogon

     Farside Name: <όνομα υπολογιστή DC μεταξύ τομέων >

     Farside Domain: <όνομα τομέα μεταξύ τομέων>

     Ip Farside:> ip μεταξύ τομέων <

Ασφάλεια NTLM:

     Σημαίες με διαπραγμάτευση:> σημαίες <

     Έκδοση NTLM: <NTLMv2 / NTLMv1>

     Κατάσταση κλειδιού περιόδου λειτουργίας: < Παρουσίαση / Λείπει>

     Σύνδεση καναλιού: < υποστηρίζονται / δεν υποστηρίζονται>

     Σύνδεση υπηρεσίας: <κύριο όνομα υπηρεσίας (SPN)>

     Κατάσταση μικροφώνου: < προστατευμένο / μη προστατευμένο>

     AvFlags: <σημαίες NTLM>

     Συμβολοσειρά avFlags: <> σημαίας NTLM

Κατάσταση:> κωδικού κατάστασης <

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα aka.ms/ntlmlogandblock

Σχέση μεταξύ νέων και υπαρχόντων συμβάντων NTLM

Τα νέα συμβάντα NTLM είναι μια βελτίωση σε σχέση με τα υπάρχοντα αρχεία καταγραφής NTLM, όπως η ασφάλεια δικτύου: Περιορισμός ελέγχου ταυτότητας NTLM ελέγχου NTLM σε αυτόν τον τομέα. Οι βελτιωμένες αλλαγές ελέγχου NTLM δεν επηρεάζουν τα τρέχοντα αρχεία καταγραφής NTLM. εάν τα τρέχοντα αρχεία καταγραφής ελέγχου NTLM είναι ενεργοποιημένα, θα συνεχίσουν να καταγράφονται.

Πληροφορίες ανάπτυξης

Σύμφωνα με την ελεγχόμενη κυκλοφορία δυνατοτήτων (CFR) της Microsoft, οι αλλαγές θα κυκλοφορήσουν πρώτα σταδιακά σε υπολογιστές Windows 11, έκδοση 24H2, ακολουθούμενοι αργότερα από υπολογιστές Windows Server 2025, συμπεριλαμβανομένων των ελεγκτών τομέα.

Η σταδιακή κυκλοφορία διανέμει μια ενημέρωση κυκλοφορίας για ένα χρονικό διάστημα, αντί για όλα ταυτόχρονα. Αυτό σημαίνει ότι οι χρήστες λαμβάνουν τις ενημερώσεις σε διαφορετικές χρονικές στιγμές και ενδέχεται να μην είναι άμεσα διαθέσιμες σε όλους τους χρήστες.

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας