Avaldamise algne kuupäev: 11. juuli 2025
KB ID: 5064479
Selle artikli teemad
Sissejuhatus
Sellest artiklist leiate ülevaate NT LAN Manageri (NTLM) auditeerimisfunktsiooni eelseisvatest muudatustest Windows 11 versioonides 24H2 ja Windows Server 2025. Nende täiustuste eesmärk on suurendada NTLM-autentimistegevuse nähtavust, võimaldades administraatoritel tuvastada kasutajate identiteeti, NTLM-i kasutamise põhjendust ja kindlaid kohti, kus NTLM-i keskkonnas kasutatakse. Täiustatud auditeerimine toetab täiustatud turbeseiret ja pärandautentimise sõltuvuste tuvastamist.
NTLM-i auditeerimise muudatuste eesmärk
NTLM-autentimine on erinevates ettevõttestsenaariumides endiselt olemas, sageli pärandrakenduste ja konfiguratsioonide tõttu. NTLM-i kasutuselt kõrvaldamist ja edasist keelamist käsitleva teadaandega (vt Windowsi IT-ajaveebi Windowsi autentimise areng) on värskendatud auditeerimisfunktsioonid mõeldud administraatoritele ABIks NTLM-i kasutuse tuvastamisel, kasutusmustrite mõistmisel ja võimalike turbeohtude tuvastamisel, sh NT LAN Manageri versiooni 1 (NTLMv1) kasutamisel.
NTLM-auditilogid
Windows 11 versioonides 24H2 ja Windows Server 2025 on kasutusele võtta uued NTLM-auditilogi võimalused klientrakenduste, serverite ja domeenikontrollerite jaoks. Iga komponent loob logid, mis annavad NTLM-autentimissündmuste kohta üksikasjalikku teavet. Need logid leiate Sündmusevaatur jaotisest Rakenduste ja teenuste logid > Microsoft > Windows > NTLM > Operatiivne.
Võrreldes olemasolevate NTLM-auditilogidega võimaldavad uued täiustatud auditimuudatused administraatoritel vastata väljadele Kes, Miks ja Kus:
-
Kes kasutab NTLM-i (sh seadme kontot ja protsessi).
-
Miks valiti NTLM-autentimine modernautentimise protokollide (nt Kerberos) asemel?
-
NTLM-i autentimise toimumiskoht, sh nii seadme nimi kui ka seadme IP.
Täiustatud NTLM-auditeerimine annab ka teavet ntLMv1 kasutamise kohta klientide ja serverite jaoks ning NTLMv1 kasutusdomeeni kohta, mille domeenikontroller on loginud.
Rühmapoliitika haldus
Uusi NTLM-auditifunktsioone saab konfigureerida värskendatud Rühmapoliitika sätete kaudu. Administraatorid saavad nende poliitikate abil määrata, milliseid NTLM-autentimise sündmusi auditeeritakse, ning hallata klientide, serverite ja domeenikontrollerite auditeerimiskäitumist vastavalt nende keskkonnale.
Sündmused on vaikimisi lubatud.
-
Kliendi ja serveri logimise korral juhitakse sündmusi poliitika NTLM täiustatud logimise kaudu jaotises Haldusmallid > System > NTLM.
-
Domeeniülese logimise korral domeenikontrolleris juhitakse sündmusi poliitika "Log Enhanced Domain-wide NTLM Logs" (Logi täiustatud domeeniülesed NTLM-logid) jaotises Haldusmallid > System > Netlogon.
Audititasemed
Iga NTLM-auditilogi jagatakse kaheks erinevaks sündmuse ID-ks, millel on sama teave, mis erineb ainult sündmusetaseme poolest.
-
Teave. Tähistab standardset NTLM-sündmust (nt NT LAN Manageri versiooni 2 (NTLMv2) autentimist), kus turvalisuse vähenemist ei tuvastata.
-
Hoiatus. Tähistab NTLM-turvalisuse langust (nt NTLMv1 kasutamine). Need sündmused tõstavad esile ebaturvalisi autentimisi. Sündmus võib olla tähistatud hoiatusena järgmistel juhtudel.
-
NTLMv1 kasutus, mille tuvastas klient, server või domeenikontroller.
-
Täiustatud autentimiskaitse on märgitud toetuseta või ebaturvatuks (lisateavet leiate teemast KB5021989: laiendatud autentimiskaitse).
-
Teatud NTLM-i turbefunktsioone (nt sõnumitervikluse kontroll (MIC) ei kasutata.
-
Kliendilogid
Uued auditilogid salvestavad väljamineva NTLM-i autentimiskatsed. Need logid sisaldavad ntLM-ühenduste käivitamise rakenduste või teenuste üksikasju ning iga autentimistaotluse asjakohaseid metaandmeid.
Kliendi logimisel on kordumatu väli Kasutus ID/põhjus, mis tõstab esile NTLM-autentimise kasutamise põhjuse.
|
ID |
Kirjeldus |
|
0 |
Tundmatu põhjus. |
|
1 |
NTLM-i kutsus otse kutsuv rakendus. |
|
2 |
Kohaliku konto autentimine. |
|
3 |
RESERVEERITUD, praegu mitte kasutusel. |
|
4 |
Pilvkonto autentimine. |
|
5 |
Sihtmärgi nimi oli puudu või tühi. |
|
6 |
Kerberos või muud protokollid ei saanud sihtnime lahendada. |
|
7 |
Sihtnimi sisaldab IP-aadressi. |
|
8 |
Leiti, et sihtnimi on Active Directorys dubleeritud. |
|
9 |
Domeenikontrolleriga ei saanud vaatejoont luua. |
|
10 |
NTLM kutsuti tsükliliidese kaudu. |
|
11 |
NTLM-i kutsuti nullseansiga. |
|
Sündmuste logi |
Microsoft-Windows-NTLM/Operational |
|
Sündmuse ID |
4020 (teave), 4021 (hoiatus) |
|
Sündmuse allikas |
NTLM |
|
Sündmuse tekst |
See arvuti proovis NTLM-i kaudu autentida kaugressursiga. Protsessiteave: Protsessi nimi: <nime> Protsessi PID: <PID> Klienditeave: Kasutajanimi: <kasutajanime> Domeen: <domeeninime> Hostinimi: <hostinime> Sign-On tüüp: <ühekordne Sign-On / esitatud> Sihtteave: Sihtarvuti: <seadme nime> Sihtdomeen: <arvutidomeeni> Sihtressurss: <teenusesubjekti nimi (SPN)> Siht-IP: <IP-aadressi> Sihtvõrgu nimi: <võrgu nimi> NTLM-i kasutus: Põhjuse ID: <kasutus-ID> Põhjus: <kasutuspõhjus> NTLM-i turve: Läbiräägitud lipud: <lipud> NTLM versioon: <NTLMv2 / NTLMv1> Seansivõtme olek: < on olemas või puudub> Kanali sidumine: < toetatud / ei toetata> Teenuse sidumine: <teenusesubjekti nimi (SPN)> Mikrofoni olek: < kaitstud / kaitsmata> AvFlags: <NTLM Flags> AvFlags String: <NTLM Flag String> Lisateavet leiate teemast aka.ms/ntlmlogandblock. |
Serverilogid
Uued auditilogid salvestavad sissetulevad NTLM-autentimiskatsed. Need logid annavad NTLM-autentimise kohta sarnased andmed nagu kliendi logid, samuti annavad teada, kas NTLM-autentimine õnnestus või mitte.
|
Sündmuste logi |
Microsoft-Windows-NTLM/Operational |
|
Sündmuse ID |
4022 (teave), 4023 (hoiatus) |
|
Sündmuse allikas |
NTLM |
|
Sündmuse tekst |
Kaugklient kasutab selle tööjala autentimiseks NTLM-i. Protsessiteave: Protsessi nimi: <nime> Protsessi PID: <PID> Kaugkliendi teave: Kasutajanimi: <kliendi kasutajanimi> Domeen: <kliendidomeeni> Klientarvuti: <klientarvuti nime> Kliendi IP: <kliendi IP-> Kliendi võrgu nimi: <kliendi võrgu nimi> NTLM-i turve: Läbiräägitud lipud: <lipud> NTLM versioon: <NTLMv2 / NTLMv1> Seansivõtme olek: < on olemas või puudub> Kanali sidumine: < toetatud / ei toetata> Teenuse sidumine: <teenusesubjekti nimi (SPN)> Mikrofoni olek: < kaitstud / kaitsmata> AvFlags: <NTLM Flags> AvFlags String: <NTLM Flag String> Olek: <olekukoodi> Olekuteade: <olekustringi> Lisateavet leiate teemast aka.ms/ntlmlogandblock |
Domeenikontrolleri logid
Domeenikontrollerid saavad kasu NTLM-i täiustatud auditeerimisest. Uute logide abil saab jäädvustada nii edukaid kui ka ebaõnnestunud NTLM-autentimiskatseid kogu domeeni jaoks. Need logid toetavad domeenidevahelise NTLM-i kasutuse tuvastamist ja teavitavad administraatoreid autentimisturbe võimalikest langustest (nt NTLMv1 autentimine).
Olenevalt järgmistest stsenaariumidest luuakse erinevad domeenikontrolleri logid.
Kui nii kliendikonto kui ka serveriarvuti kuuluvad samasse domeeni, luuakse järgmisega sarnane logi:
|
Sündmuste logi |
Microsoft-Windows-NTLM/Operational |
|
Sündmuse ID |
4032 (teave), 4033 (hoiatus) |
|
Sündmuse allikas |
Security-Netlogon |
|
Sündmuse tekst |
DC <DC nimi> töödelda sellest domeenist pärinevat edasisaadetud NTLM-autentimistaotlust. Klienditeave: Kliendi nimi: <kasutajanime> Klientdomeen: <domeeni> Klientarvuti: <kliendi tööjala> Serveriteave: Serveri nimi: <serveriarvuti> Serveri domeen: <serveridomeeni> Serveri IP: <Serveri IP-> Serveri operatsioonisüsteem: <Serveri operatsioonisüsteemi> NTLM-i turve: Läbiräägitud lipud: <lipud> NTLM versioon: <NTLMv2 / NTLMv1> Seansivõtme olek: < on olemas või puudub> Kanali sidumine: < toetatud / ei toetata> Teenuse sidumine: <teenusesubjekti nimi (SPN)> Mikrofoni olek: < kaitstud / kaitsmata> AvFlags: <NTLM Flags> AvFlags String: <NTLM Flag String> Olek: <olekukoodi> Olekuteade: <olekustringi> Lisateavet leiate teemast aka.ms/ntlmlogandblock |
Kui kliendikonto ja server kuuluvad erinevatesse domeenidesse, on domeenikontrolleril erinevad logid sõltuvalt sellest, kas domeenikontroller kuulub domeeni, kus klient asub (autentimise algatamine) või kus server asub (autentimise aktsepteerimine):
Kui server kuulub autentimist käitleva domeenikontrolleriga samasse domeeni, luuakse sama domeeni logiga sarnane logi.
Kui kliendikonto kuulub autentimist käitleva domeenikontrolleriga samasse domeeni, luuakse järgmisega sarnane logi:
|
Sündmuste logi |
Microsoft-Windows-NTLM/Operational |
|
Sündmuse ID |
4030 (teave), 4031 (hoiatus) |
|
Sündmuse allikas |
Security-Netlogon |
|
Sündmuse tekst |
DC <DC nimi> töödelda sellest domeenist pärinevat edasisaadetud NTLM-autentimistaotlust. Klienditeave: Kliendi nimi: <kasutajanime> Klientdomeen: <domeeni> Klientarvuti: <kliendi tööjala> Serveriteave: Serveri nimi: <serveriarvuti> Serveri domeen: <serveridomeeni> Edasisaadetud saatja: Secure Channel Type: <Netlogon Secure Channel Info> Kauge nimi: <domeeniülese DC seadme > Kaugdomeen: <domeeniülene domeeninimi> Kauge IP: <domeeniülene DC IP> NTLM-i turve: Läbiräägitud lipud: <lipud> NTLM versioon: <NTLMv2 / NTLMv1> Seansivõtme olek: < on olemas või puudub> Kanali sidumine: < toetatud / ei toetata> Teenuse sidumine: <teenusesubjekti nimi (SPN)> Mikrofoni olek: < kaitstud / kaitsmata> AvFlags: <NTLM Flags> AvFlags String: <NTLM Flag String> Olek: <olekukoodi> Lisateavet leiate teemast aka.ms/ntlmlogandblock |
Seos uute ja olemasolevate NTLM-sündmuste vahel
Uued NTLM-i sündmused on olemasolevate NTLM-logide (nt Võrguturve: Piira NTLM Audit NTLM-i autentimist selles domeenis) täiustus. Täiustatud NTLM-auditi muudatused ei mõjuta praegusi NTLM-logisid; kui praegused NTLM-auditilogid on lubatud, logitakse neid edasi.
Juurutusteave
Vastavalt Microsofti juhitud funktsioonide väljalaskmisele (CFR) tehakse muudatused esmalt järk-järgult Windows 11 versiooni 24H2 arvutitele, millele järgneb hiljem Windows Server 2025 arvutid, sh domeenikontrollerid.
Järk-järguline väljalase levitab väljaande värskendust teatud aja jooksul, mitte korraga. See tähendab, et kasutajad saavad värskendusi eri aegadel ja see ei pruugi kõigile kasutajatele kohe saadaval olla.
