Alkuperäinen julkaisupäivä: 11. heinäkuuta 2025
KB-tunnus: 5064479
Artikkelin sisältö:
Johdanto
Tässä artikkelissa on yleiskatsaus NT LAN Manager (NTLM) -valvontatoimintojen tulevista muutoksista Windows 11 versiossa 24H2 ja Windows Server 2025. Nämä parannukset on suunniteltu lisäämään näkyvyyttä NTLM-todennustoimintaan, jolloin järjestelmänvalvojat voivat määrittää käyttäjien henkilöllisyyden, NTLM-käytön perusteet ja tietyt sijainnit, joissa NTLM:ää käytetään ympäristössä. Parannettu valvonta tukee parannettua suojausvalvontaa ja vanhojen todennusriippuvuuksien tunnistamista.
NTLM-valvontamuutosten tarkoitus
NTLM-todennus on edelleen käytössä erilaisissa yritysskenaariossa, usein vanhojen sovellusten ja määritysten vuoksi. NTLM:n käytöstä poistamisesta ja käytöstä poistamisesta ilmoittamalla (katso WindowsIN IT-blogi Windows-todennuksen kehitys) päivitetyt valvontaominaisuudet on tarkoitettu auttamaan järjestelmänvalvojia tunnistamaan NTLM-käyttö, ymmärtämään käyttötapoja ja havaitsemaan mahdollisia tietoturvariskejä, mukaan lukien NT LAN Managerin version 1 (NTLMv1) käyttö.
NTLM-valvontalokit
Windows 11 versiossa 24H2 ja Windows Server 2025 esitellään uusia NTLM-valvontalokiominaisuuksia asiakkaille, palvelimille ja toimialueen ohjauskoneille. Kukin komponentti luo lokeja, jotka sisältävät yksityiskohtaisia tietoja NTLM-todennustapahtumista. Nämä lokit löytyvät Tapahtumienvalvonta kohdasta Microsoft > Windows > NTLM > Operational > Sovelluksetja palvelut -lokit.
Nykyisiin NTLM-valvontalokeihin verrattuna uusien parannettujen valvontamuutosten avulla järjestelmänvalvojat voivat vastata Kuka-, Miksi- ja Missä-kenttiin:
-
Kuka käyttää NTLM:ää, mukaan lukien tili ja prosessi koneessa.
-
Miksi NTLM-todennus valittiin kerberosin kaltaisten nykyaikaisten todennusprotokollien sijaan.
-
NTLM-todennuksen tapahtumapaikka, mukaan lukien sekä koneen nimi että tietokoneen IP-osoite.
Parannettu NTLM-valvonta sisältää myös tietoja asiakkaiden ja palvelimien NTLMv1-käytöstä sekä toimialueen ohjauskoneen kirjaamasta NTLMv1-käyttöalueesta.
ryhmäkäytäntö hallinta
Uudet NTLM-valvontaominaisuudet ovat määritettävissä päivitettyjen ryhmäkäytäntö asetusten avulla. Järjestelmänvalvojat voivat näiden käytäntöjen avulla määrittää, mitkä NTLM-todennustapahtumat valvotaan, ja hallita asiakkaiden, palvelimien ja toimialueen ohjauskoneiden valvontatoimintoja ympäristönsä mukaisesti.
Tapahtumat ovat oletusarvoisesti käytössä.
-
Asiakas- ja palvelinlokitapahtumia hallitaan NTLM Enhanced Logging -käytännön avulla hallintamallien > järjestelmä - > NTLM-kohdissa.
-
Toimialueenlaajuista kirjaamista varten toimialueen ohjauskoneeseen tapahtumia hallitaan Log Enhanced Domain-wide NTLM Logs (Log Enhanced Domain-wide NTLM Logs) -käytännön avulla kohdassa Hallintamallit > Järjestelmä > Netlogon.
Valvontatasot
Jokainen NTLM-valvontaloki jaetaan kahdeksi eri tapahtumatunnuksiksi, joissa on samat tiedot, jotka eroavat toisistaan vain tapahtumatason mukaan:
-
Tiedot: Osoittaa NTLM-vakiotapahtumat, kuten NT LAN Managerin version 2 (NTLMv2) todennuksen, jossa suojausta ei ole vähennetty.
-
Varoitus: Osoittaa NTLM-suojauksen heikentymisen, kuten NTLMv1:n käytön. Nämä tapahtumat korostavat epävarmaa todentamista. Tapahtuma voidaan merkitä varoitukseksi esimerkiksi seuraavissa tapauksissa:
-
NTLMv1-käyttö, jonka on havainnut joko asiakas, palvelin tai toimialueen ohjauskone.
-
Parannettu varmennuksen suojaus on merkitty ei-tuetuksi tai epävarmaksi (lisätietoja on artikkelissa KB5021989: Extended Protection todennukselle).
-
Tiettyjä NTLM-suojausominaisuuksia, kuten viestin eheyden tarkistusta (MIC), ei käytetä.
-
Asiakaslokit
Uudet valvontalokit tallentavat lähtevän NTLM-todennusyrityksen. Nämä lokit sisältävät tietoja NTLM-yhteyksien käynnistämistä sovelluksista tai palveluista sekä kunkin todentamispyynnön olennaiset metatiedot.
Asiakkaan lokiin kirjaamisessa on yksilöllinen kenttä, Käyttötunnus/Syy, joka korostaa, miksi NTLM-todennusta käytettiin.
|
ID |
Kuvaus |
|
0 |
Tuntematon syy. |
|
1 |
Puhelusovellus soitti suoraan NTLM:lle. |
|
2 |
Paikallisen tilin todennus. |
|
3 |
VARATTU, ei tällä hetkellä käytössä. |
|
4 |
Pilvitilin todentaminen. |
|
5 |
Kohteen nimi puuttui tai tyhjeni. |
|
6 |
Kerberos tai muut protokollat eivät pystyneet korjaamaan kohteen nimeä. |
|
7 |
Kohteen nimi sisältää IP-osoitteen. |
|
8 |
Kohteen nimen todettiin olevan päällekkäinen Active Directoryssa. |
|
9 |
Toimialueen ohjauskoneen kanssa ei voitu muodostaa näköyhteyslinjaa. |
|
10 |
NTLM kutsuttiin loopback-käyttöliittymän kautta. |
|
11 |
NTLM kutsuttiin tyhjäarvoisen istunnon kanssa. |
|
Tapahtumaloki |
Microsoft-Windows-NTLM/Operational |
|
Tapahtumatunnus |
4020 (Tiedot), 4021 (varoitus) |
|
Tapahtumalähde |
NTLM |
|
Tapahtuman teksti |
Tämä kone yritti todentaa etäresurssiin NTLM:n kautta. Prosessitiedot: Prosessin nimi: <Nimi-> Prosessipid: <PID-> Asiakastiedot: Käyttäjänimi: <käyttäjänimi> Toimialue: <toimialuenimi> Isäntänimi: <isäntänimi> Sign-On tyyppi: <Single Sign-On / Supplied Creds> Kohdetiedot: Kohdekone: <koneen nimi> Kohdetoimialue: <koneen toimialueen> Kohderesurssi: <service principal name (SPN)> Kohde-IP: <IP-osoite> Verkon kohdenimi: <verkon nimi> NTLM-käyttö: Syytunnus: <käyttötunnus> Syy: <käyttösyy> NTLM-suojaus: Neuvotteluliput: <liput> NTLM-versio: <NTLMv2 / NTLMv1> Istuntoavaimen tila: < läsnä / puuttuvat> Kanavan sidonta: < tuettu / ei tuettu> Palvelun sidonta: <Service Principal Name (SPN)> Mikrofonin tila: < suojattu / suojaamaton> AvFlags: <NTLM Flags> AvFlags-merkkijono: <NTLM-merkintämerkkijono> Lisätietoja on artikkelissa aka.ms/ntlmlogandblock. |
Palvelinlokit
Uudet valvontalokitietueen saapuvat NTLM-todennusyritykset. Nämä lokit toimittavat samanlaisia tietoja NTLM-todennuksesta kuin asiakaslokit sekä ilmoittavat, onnistuiko NTLM-todennus vai ei.
|
Tapahtumaloki |
Microsoft-Windows-NTLM/Operational |
|
Tapahtumatunnus |
4022 (Tiedot), 4023 (varoitus) |
|
Tapahtumalähde |
NTLM |
|
Tapahtuman teksti |
Etäasiakas käyttää NTLM:ää todentaakseen tämän työaseman. Prosessitiedot: Prosessin nimi: <Nimi-> Prosessipid: <PID-> Etäasiakastiedot: Käyttäjänimi: <asiakkaan käyttäjänimi> Toimialue: <asiakkaan toimialueen> Asiakaskone: <asiakaskoneen nimi> Asiakkaan IP-osoite: <asiakkaan IP-> Asiakasverkon nimi: <asiakkaan verkon nimi> NTLM-suojaus: Neuvotteluliput: <liput> NTLM-versio: <NTLMv2 / NTLMv1> Istuntoavaimen tila: < läsnä / puuttuvat> Kanavan sidonta: < tuettu / ei tuettu> Palvelun sidonta: <Service Principal Name (SPN)> Mikrofonin tila: < suojattu / suojaamaton> AvFlags: <NTLM Flags> AvFlags-merkkijono: <NTLM-merkintämerkkijono> Tila: <tilakoodin> Tilaviesti: <tilamerkkijono> Lisätietoja on artikkelissa aka.ms/ntlmlogandblock |
Toimialueen ohjauskoneen lokit
Toimialueen ohjauskoneet hyötyvät parannetusta NTLM-valvonnasta ja uusista lokeista, jotka tallentavat sekä onnistuneita että epäonnistuneita NTLM-todennusyrityksiä koko toimialueelle. Nämä lokit tukevat toimialueiden välisen NTLM-käytön tunnistamista ja ilmoittavat järjestelmänvalvojille todennussuojauksen mahdollisista alennuksista, kuten NTLMv1-todennuksesta.
Eri toimialueen ohjauskoneiden lokit luodaan seuraavien skenaarioiden mukaan:
Kun sekä asiakastili että palvelinkone kuuluvat samaan toimialueeseen, luodaan seuraavan kaltainen loki:
|
Tapahtumaloki |
Microsoft-Windows-NTLM/Operational |
|
Tapahtumatunnus |
4032 (Tiedot), 4033 (varoitus) |
|
Tapahtumalähde |
Security-Netlogon |
|
Tapahtuman teksti |
DC-<DC Name> käsitteli tästä toimialueesta peräisin olevan edelleen lähetetyn NTLM-todennuspyynnön. Asiakastiedot: Asiakkaan nimi: <käyttäjänimi> Asiakkaan toimialue: <domain> Asiakaskone: <Asiakkaan työasema> Palvelimen tiedot: Palvelimen nimi: <Server Machine Name> Palvelimen toimialue: <Server -toimialueen> Palvelimen IP-osoite: <Serverin IP-> Palvelinkäyttöjärjestelmä: <Server -käyttöjärjestelmän> NTLM-suojaus: Neuvotteluliput: <liput> NTLM-versio: <NTLMv2 / NTLMv1> Istuntoavaimen tila: < läsnä / puuttuvat> Kanavan sidonta: < tuettu / ei tuettu> Palvelun sidonta: <Service Principal Name (SPN)> Mikrofonin tila: < suojattu / suojaamaton> AvFlags: <NTLM Flags> AvFlags-merkkijono: <NTLM-merkintämerkkijono> Tila: <tilakoodin> Tilaviesti: <tilamerkkijono> Lisätietoja on artikkelissa aka.ms/ntlmlogandblock |
Jos asiakastili ja palvelin kuuluvat eri toimialueisiin, toimialueen ohjauskoneessa on eri lokit sen mukaan, kuuluuko toimialueen ohjauskone toimialueeseen, jossa asiakas sijaitsee (todennuksen aloittaminen) tai missä palvelin sijaitsee (todennuksen hyväksyminen):
Jos palvelin kuuluu samaan toimialueeseen kuin todennusta käsittelevä toimialueen ohjauskone, luodaan saman toimialueen lokia muistuttava loki.
Jos asiakastili kuuluu samaan toimialueeseen kuin todennusta käsittelevä toimialueen ohjauskone, luodaan seuraavan kaltainen loki:
|
Tapahtumaloki |
Microsoft-Windows-NTLM/Operational |
|
Tapahtumatunnus |
4030 (Tiedot), 4031 (varoitus) |
|
Tapahtumalähde |
Security-Netlogon |
|
Tapahtuman teksti |
DC-<DC Name> käsitteli tästä toimialueesta peräisin olevan edelleen lähetetyn NTLM-todennuspyynnön. Asiakastiedot: Asiakkaan nimi: <käyttäjänimi> Asiakkaan toimialue: <domain> Asiakaskone: <Asiakkaan työasema> Palvelimen tiedot: Palvelimen nimi: <Server Machine Name> Palvelimen toimialue: <Server -toimialueen> Välitetty kohteesta: Suojatun kanavan tyyppi: <Netlogon Secure Channel Info> Farside Name: <Cross-Domain DC Machine Name > Farside-toimialue: <toimialueiden välinen toimialuenimi> Farside IP: <cross-domain DC IP> NTLM-suojaus: Neuvotteluliput: <liput> NTLM-versio: <NTLMv2 / NTLMv1> Istuntoavaimen tila: < läsnä / puuttuvat> Kanavan sidonta: < tuettu / ei tuettu> Palvelun sidonta: <Service Principal Name (SPN)> Mikrofonin tila: < suojattu / suojaamaton> AvFlags: <NTLM Flags> AvFlags-merkkijono: <NTLM-merkintämerkkijono> Tila: <tilakoodin> Lisätietoja on artikkelissa aka.ms/ntlmlogandblock |
Uusien ja olemassa olevien NTLM-tapahtumien välinen suhde
Uudet NTLM-tapahtumat parantavat olemassa olevia NTLM-lokeja, kuten Verkon suojaus: Rajoita NTLM Audit NTLM -todennusta tässä toimialueessa. Parannetut NTLM-valvontamuutokset eivät vaikuta nykyisiin NTLM-lokeihin. jos nykyiset NTLM-valvontalokit ovat käytössä, ne kirjataan edelleen.
Käyttöönottotiedot
Microsoftin valvoman ominaisuuksien käyttöönoton (CFR) mukaisesti muutokset otetaan ensin vähitellen käyttöön Windows 11 versiossa 24H2 ja sen jälkeen Windows Server 2025 -koneissa, mukaan lukien toimialueen ohjauskoneet.
Asteittainen käyttöönotto jakaa julkaisupäivityksen tietylle ajanjaksolle eikä kaikille kerralla. Tämä tarkoittaa sitä, että käyttäjät saavat päivitykset eri aikoina, eivätkä ne välttämättä ole heti kaikkien käyttäjien käytettävissä.
