Auditer l’utilisation de NTLMv1 sur un contrôleur de domaine Windows Server

  • Article

Cet article présente les étapes de test d’une application qui utilise NT LAN Manager (NTLM) version 1 sur un contrôleur de domaine Microsoft Windows Server.

S’applique à : Windows Server 2016, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 4090105

Résumé

Avertissement

De graves problèmes peuvent se produire si vous vous trompez en modifiant le Registre à l’aide de l’Éditeur du Registre ou toute autre méthode. Vous risquez même de devoir réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.

Vous pouvez effectuer ce test avant de configurer les ordinateurs pour qu’ils utilisent uniquement NTLMv2. Pour configurer l’ordinateur pour qu’il utilise uniquement NTLMv2, définissez LMCompatibilityLevel sur 5 sous la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa clé du contrôleur de domaine.

Audit NTLM

Pour rechercher les applications qui utilisent NTLMv1, activez l’audit de réussite de l’ouverture de session sur le contrôleur de domaine, puis recherchez l’événement d’audit de réussite 4624, qui contient des informations sur la version de NTLM.

Vous recevrez des journaux d’événements qui ressemblent aux suivants :

Sample Event ID: 4624  
Source: Microsoft-Windows-Security-Auditing  
Event ID: 4624  
Task Category: Logon  
Level: Information  
Keywords: Audit Success  
Description:  
An account was successfully logged on.  
Subject:  
Security ID: NULL SID  
Account Name: -  
Account Domain: -  
Logon ID: 0x0  
Logon Type: 3  

New Logon:  
Security ID: ANONYMOUS LOGON  
Account Name: ANONYMOUS LOGON  
Account Domain: NT AUTHORITY  
Logon ID: 0xa2226a  
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:  
Process ID: 0x0  
Process Name: -  
Network Information:  
Workstation Name: Workstation1  
Source Network Address:\<ip address>  
Source Port: 49194

Detailed Authentication Information:  
Logon Process: NtLmSsp  
Authentication Package: NTLM  
Transited Services: -  
Package Name (NTLM only): NTLM V1  
Key Length: 128

Plus d’informations

Cette ouverture de session dans le journal des événements n’utilise pas vraiment la sécurité de session NTLMv1. En fait, il n’y a pas de sécurité de session, car il n’existe aucun matériel clé.

La logique de l’audit NTLM est qu’il journalise l’authentification de niveau NTLMv2 lorsqu’il trouve du matériel clé NTLMv2 sur la session de connexion. Il enregistre NTLMv1 dans tous les autres cas, qui incluent des sessions anonymes. Par conséquent, notre recommandation générale est d’ignorer l’événement pour les informations d’utilisation du protocole de sécurité lorsque l’événement est enregistré pour LOGON ANONYME.

Les sources courantes des sessions d’ouverture de session anonyme sont les suivantes :

  • Service Explorateur d’ordinateurs : il s’agit d’un service hérité de Windows 2000 et des versions antérieures de Windows. Le service fournit des listes d’ordinateurs et de domaines sur le réseau. Le service s’exécute en arrière-plan. Toutefois, aujourd’hui, ces données ne sont plus utilisées. Nous vous recommandons de désactiver ce service dans l’entreprise.

  • mappage SID-Name : il peut utiliser des sessions anonymes. Consultez Accès réseau : autoriser la traduction de sid/nom anonyme. Nous vous recommandons d’exiger une authentification pour cette fonctionnalité.

  • Applications clientes qui ne s’authentifient pas : le serveur d’applications peut toujours créer une session d’ouverture de session anonyme. Elle est également effectuée quand des chaînes vides sont passées pour le nom d’utilisateur et le mot de passe dans l’authentification NTLM.