Auditer l’utilisation de NTLMv1 sur un contrôleur de domaine Windows Server
Cet article présente les étapes de test d’une application qui utilise NT LAN Manager (NTLM) version 1 sur un contrôleur de domaine Microsoft Windows Server.
S’applique à : Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 4090105
Résumé
Avertissement
De graves problèmes peuvent se produire si vous vous trompez en modifiant le Registre à l’aide de l’Éditeur du Registre ou toute autre méthode. Vous risquez même de devoir réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.
Vous pouvez effectuer ce test avant de configurer les ordinateurs pour qu’ils utilisent uniquement NTLMv2. Pour configurer l’ordinateur pour qu’il utilise uniquement NTLMv2, définissez LMCompatibilityLevel sur 5 sous la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
clé du contrôleur de domaine.
Audit NTLM
Pour rechercher les applications qui utilisent NTLMv1, activez l’audit de réussite de l’ouverture de session sur le contrôleur de domaine, puis recherchez l’événement d’audit de réussite 4624, qui contient des informations sur la version de NTLM.
Vous recevrez des journaux d’événements qui ressemblent aux suivants :
Sample Event ID: 4624
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xa2226a
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: Workstation1
Source Network Address:\<ip address>
Source Port: 49194
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
Plus d’informations
Cette ouverture de session dans le journal des événements n’utilise pas vraiment la sécurité de session NTLMv1. En fait, il n’y a pas de sécurité de session, car il n’existe aucun matériel clé.
La logique de l’audit NTLM est qu’il journalise l’authentification de niveau NTLMv2 lorsqu’il trouve du matériel clé NTLMv2 sur la session de connexion. Il enregistre NTLMv1 dans tous les autres cas, qui incluent des sessions anonymes. Par conséquent, notre recommandation générale est d’ignorer l’événement pour les informations d’utilisation du protocole de sécurité lorsque l’événement est enregistré pour LOGON ANONYME.
Les sources courantes des sessions d’ouverture de session anonyme sont les suivantes :
Service Explorateur d’ordinateurs : il s’agit d’un service hérité de Windows 2000 et des versions antérieures de Windows. Le service fournit des listes d’ordinateurs et de domaines sur le réseau. Le service s’exécute en arrière-plan. Toutefois, aujourd’hui, ces données ne sont plus utilisées. Nous vous recommandons de désactiver ce service dans l’entreprise.
mappage SID-Name : il peut utiliser des sessions anonymes. Consultez Accès réseau : autoriser la traduction de sid/nom anonyme. Nous vous recommandons d’exiger une authentification pour cette fonctionnalité.
Applications clientes qui ne s’authentifient pas : le serveur d’applications peut toujours créer une session d’ouverture de session anonyme. Elle est également effectuée quand des chaînes vides sont passées pour le nom d’utilisateur et le mot de passe dans l’authentification NTLM.
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour