תאריך פרסום מקורי: (יום שלישי 11 יולי 2025)
מזהה KB: 5064479
במאמר זה:
מבוא
מאמר זה מספק מבט כולל על השינויים הקרובים בפונקציונליות הביקורת של NT LAN Manager (NTLM) ב- Windows 11, גירסה 24H2 ו- Windows Server 2025. שיפורים אלה נועדו להגדיל את הניראות של פעילות האימות של NTLM, דבר המאפשר למנהלי מערכת לקבוע את זהות המשתמשים, את הרציונליות לשימוש ב- NTLM ואת המיקומים הספציפיים שבהם NTLM פועל בתוך סביבה. ביקורת משופרת תומכת בניטור אבטחה משופר ובזיהוי יחסי תלות באימות מדור קודם.
מטרת שינויים בביקורת NTLM
אימות NTLM ממשיך להיכלל בתרחישים ארגוניים שונים, לעתים קרובות עקב אפליקציות ותצורות מדור קודם. עם ההכרזה על פחת NTLM והפחתה עתידית (עיין בבלוג ה- IT של Windows ההתפתחות של אימות Windows) תכונות הביקורת המעודכנת מיועדות לסייע למנהלי מערכת בזיהוי שימוש ב- NTLM, להבין דפוסי שימוש ולזהות סיכוני אבטחה פוטנציאליים, כולל השימוש ב- NT LAN Manager גירסה 1 (NTLMv1).
יומני ביקורת של NTLM
Windows 11, גירסה 24H2 ו- Windows Server 2025 מציגות יכולות חדשות של רישום ביקורת NTLM עבור לקוחות, שרתים ובקרי תחום. כל רכיב יוצר יומני רישום המספקים מידע מפורט בנוגע לאירועי אימות NTLM. ניתן למצוא יומני רישום אלה ב- מציג האירועים תחת יומני רישום של יישומים ושירותים > Microsoft > Windows > NTLM > תפעול.
בהשוואה ליומני ביקורת קיימים של NTLM, שינויי הביקורת המשופרים החדשים מאפשרים למנהלי מערכת לענות על 'מי', 'מדוע' ו'היכן':
-
המשתמשים ב- NTLM, כולל החשבון והתהליך במחשב.
-
מדוע נבחר אימות NTLM, במקום פרוטוקולי אימות מודרניים כגון Kerberos.
-
כאשר אימות NTLM מתרחש, כולל שם המחשב וה- IP של המחשב.
הביקורת המשופרת של NTLM מספקת גם מידע אודות השימוש ב- NTLMv1 עבור לקוחות בשרתים, וכן שימוש ב- NTLMv1 בכל תחום שבקר התחום רשם.
מדיניות קבוצתית עבודה
ניתן לקבוע את התצורה של תכונות הביקורת החדשות של NTLM באמצעות מדיניות קבוצתית מעודכנות. מנהלי מערכת יכולים להשתמש במדיניות זו כדי לציין אילו אירועי אימות NTLM י לביקורת ולנהל את אופן הפעולה של ביקורת בין לקוחות, שרתים ובקרי תחום בהתאם לסביבה שלהם.
כברירת מחדל, האירועים זמינים.
-
עבור רישום לקוח ורישום שרת, האירועים נשלטים באמצעות מדיניות "רישום משופר של NTLM" תחת תבניות ניהול > מערכת > NTLM.
-
עבור רישום בכל תחום בבקר התחום, האירועים נשלטים באמצעות מדיניות "יומן רישום משופר של יומני NTLM ברחבי התחום" תחת תבניות ניהול >מערכת > Netlogon.
רמות ביקורת
כל יומן ביקורת של NTLM מפוצל לשני מזהי אירועים שונים עם אותו מידע שונה רק לפי רמת אירוע:
-
מידע: מציין אירועי NTLM רגילים, כגון אימות NT LAN Manager גירסה 2 (NTLMv2), כאשר לא זוהתה הפחתה באבטחה.
-
אזהרה: מציין שדרוג לאחור של אבטחת NTLM, כגון השימוש ב- NTLMv1. אירועים אלה מדגישים אימות לא מאובטח. אירוע עשוי להיות מסומן כ"אזהרה" עבור מופעים כגון:
-
שימוש ב- NTLMv1 שזוהה על-ידי הלקוח, השרת או בקר התחום.
-
הגנה משופרת עבור אימות מסומנת כלא נתמכת או לא מאובטחת (לקבלת מידע נוסף, ראה KB5021989: הגנה מורחבת לאימות).
-
תכונות אבטחה מסוימות של NTLM, כגון בדיקת תקינות הודעות (MIC), אינן בשימוש.
-
יומני רישום של לקוח
יומני ביקורת חדשים מתעדים ניסיונות אימות NTLM יוצאים. יומני רישום אלה מספקים פרטים אודות היישומים או השירותים שיזמו חיבורי NTLM, יחד עם מטה-נתונים רלוונטיים עבור כל בקשת אימות.
רישום לקוח כולל שדה ייחודי, 'מזהה שימוש/סיבה', המדגיש מדוע נעשה שימוש באימות NTLM.
|
ID |
תיאור |
|
0 |
סיבה לא ידועה. |
|
1 |
NTLM נקרא ישירות על-ידי יישום השיחות. |
|
2 |
מאמת חשבון מקומי. |
|
3 |
שמור, אינו נמצא כעת בשימוש. |
|
4 |
מאמת חשבון ענן. |
|
5 |
שם היעד היה חסר או ריק. |
|
6 |
לא היתה אפשרות לזהות את שם היעד על-ידי Kerberos או פרוטוקולים אחרים. |
|
7 |
שם היעד מכיל כתובת IP. |
|
8 |
שם היעד נמצא כפילות ב- Active Directory. |
|
9 |
לא היתה אפשרות ליצור קו ראייה עם בקר תחום. |
|
10 |
בוצעה קריאה ל- NTLM באמצעות ממשק לולאה חוזרת. |
|
11 |
בוצעה קריאה ל- NTLM בהפעלת Null. |
|
יומן אירועים |
Microsoft-Windows-NTLM/תפעולי |
|
מזהה האירוע |
4020 (מידע), 4021 (אזהרה) |
|
מקור האירוע |
NTLM |
|
טקסט אירוע |
מחשב זה ניסה לבצע אימות מול משאב מרוחק באמצעות NTLM. פרטי תהליך: שם תהליך: <שם> מעבד PID: <PID> פרטי לקוח: שם משתמש: <משתמש> תחום: <שם תחום> Hostname: <Host Name> Sign-On סוג: <יחיד Sign-On אישורים שסופקו> פרטי יעד: מחשב יעד: <שם מחשב> תחום יעד: <תחום> משאב יעד: <הראשי של שירות (SPN)> IP היעד: <כתובת IP> שם רשת היעד: <שם הרשת> שימוש ב- NTLM: מזהה סיבה: <מזהה שימוש> סיבה: <השימוש> אבטחת NTLM: דגלים שנשאו במשא ומתן: <דגלים> גירסת NTLM: <NTLMv2 / NTLMv1> מצב מפתח הפעלה: < קיים/ חסר> איגוד ערוץ: < נתמך / לא נתמך> איגוד שירות: <ראשי של שירות (SPN)> מצב מיקרופון: < מוגן / לא מוגן> AvFlags: <דגלי NTLM> מחרוזת AvFlags: <מחרוזת דגל NTLM> לקבלת מידע נוסף, ראה aka.ms/ntlmlogandblock. |
יומני רישום של שרת
ניסיונות אימות NTLM נכנסים של רשומת יומני ביקורת חדשים. יומני רישום אלה מספקים פרטים דומים אודות אימות NTLM כמו יומני הרישום של הלקוח, וכן מדווחים אם אימות NTLM הצליח או לא.
|
יומן אירועים |
Microsoft-Windows-NTLM/תפעולי |
|
מזהה האירוע |
4022 (מידע), 4023 (אזהרה) |
|
מקור האירוע |
NTLM |
|
טקסט אירוע |
לקוח מרוחק משתמש ב- NTLM לאימות תחנת עבודה זו. פרטי תהליך: שם תהליך: <שם> מעבד PID: <PID> פרטי לקוח מרוחק: Username: <Client Username> תחום: <תחום> מחשב לקוח: <שם מחשב לקוח> IP של לקוח: <IP של לקוח> שם רשת לקוח: <שם רשת לקוח> אבטחת NTLM: דגלים שנשאו במשא ומתן: <דגלים> גירסת NTLM: <NTLMv2 / NTLMv1> מצב מפתח הפעלה: < קיים/ חסר> איגוד ערוץ: < נתמך / לא נתמך> איגוד שירות: <ראשי של שירות (SPN)> מצב מיקרופון: < מוגן / לא מוגן> AvFlags: <דגלי NTLM> מחרוזת AvFlags: <מחרוזת דגל NTLM> מצב: <קוד> הודעת מצב: <מחרוזת מצב> לקבלת מידע נוסף, ראה aka.ms/ntlmlogandblock |
יומני רישום של בקר תחום
בקרי תחום נהנים מביקורת NTLM משופרת, עם יומני רישום חדשים הלוכדים ניסיונות אימות NTLM מוצלחים ולא מוצלחים עבור התחום כולו. יומני רישום אלה תומכים בזיהוי של שימוש בין תחומים ב- NTLM והתראות למנהלי מערכת על שדרוגי לאחור פוטנציאליים באימות אבטחה, כגון אימות NTLMv1.
יומני רישום שונים של בקר תחום נוצרים בהתאם לתרחישים הבאים:
כאשר גם חשבון הלקוח וגם מחשב השרת שייכים לאותו תחום, נוצר יומן רישום דומה לזו:
|
יומן אירועים |
Microsoft-Windows-NTLM/תפעולי |
|
מזהה האירוע |
4032 (מידע), 4033 (אזהרה) |
|
מקור האירוע |
Security-Netlogon |
|
טקסט אירוע |
ה- DC <ה- DC> עיבוד בקשת אימות NTLM מועברת שמקורה בתחום זה. פרטי לקוח: שם לקוח: <משתמש> תחום לקוח: <תחום> מחשב לקוח: <עבודה של לקוח> פרטי שרת: שם שרת: <שם מחשב שרת> תחום שרת: <Server Domain> IP של שרת: <IP> מערכת הפעלה של שרת: <מערכת הפעלה של שרת> אבטחת NTLM: דגלים שנשאו במשא ומתן: <דגלים> גירסת NTLM: <NTLMv2 / NTLMv1> מצב מפתח הפעלה: < קיים/ חסר> איגוד ערוץ: < נתמך / לא נתמך> איגוד שירות: <ראשי של שירות (SPN)> מצב מיקרופון: < מוגן / לא מוגן> AvFlags: <דגלי NTLM> מחרוזת AvFlags: <מחרוזת דגל NTLM> מצב: <קוד> הודעת מצב: <מחרוזת מצב> לקבלת מידע נוסף, ראה aka.ms/ntlmlogandblock |
אם חשבון הלקוח והשרת שייכים לתחום אחר, לבקר התחום יהיו יומני רישום שונים בהתאם למצב שבו בקר התחום שייך לתחום שבו נמצא הלקוח (מאתחל את האימות) או היכן ש מתגורר השרת (קבלת האימות):
אם השרת שייך לאותו תחום של בקר התחום שמטפל באימות, נוצר יומן רישום הדומה ל"יומן רישום של אותו תחום".
אם חשבון הלקוח שייך לאותו תחום של בקר התחום שמטפל באימות, נוצר יומן רישום הדומה לזה:
|
יומן אירועים |
Microsoft-Windows-NTLM/תפעולי |
|
מזהה האירוע |
4030 (מידע), 4031 (אזהרה) |
|
מקור האירוע |
Security-Netlogon |
|
טקסט אירוע |
ה- DC <ה- DC> עיבוד בקשת אימות NTLM מועברת שמקורה בתחום זה. פרטי לקוח: שם לקוח: <משתמש> תחום לקוח: <תחום> מחשב לקוח: <עבודה של לקוח> פרטי שרת: שם שרת: <שם מחשב שרת> תחום שרת: <Server Domain> הועבר מ: סוג ערוץ מאובטח: <פרטי ערוץ מאובטח של Netlogon> Farside Name: <שם מחשב DC מרובה תחומים > Farside Domain: <שם תחום חוצה תחומים> IP רחוק: <IP DC בין תחומים> אבטחת NTLM: דגלים שנשאו במשא ומתן: <דגלים> גירסת NTLM: <NTLMv2 / NTLMv1> מצב מפתח הפעלה: < קיים/ חסר> איגוד ערוץ: < נתמך / לא נתמך> איגוד שירות: <ראשי של שירות (SPN)> מצב מיקרופון: < מוגן / לא מוגן> AvFlags: <דגלי NTLM> מחרוזת AvFlags: <מחרוזת דגל NTLM> מצב: <קוד> לקבלת מידע נוסף, ראה aka.ms/ntlmlogandblock |
קשר גומלין בין אירועי NTLM חדשים וקיימים
אירועי NTLM החדשים הם שיפור ביומני NTLM הקיימים, כגון אבטחת רשת: הגבל אימות NTLM ביקורת NTLM בתחום זה. שינויי הביקורת המשופרים של NTLM אינם משפיעים על יומני הרישום הנוכחיים של NTLM; אם יומני הביקורת הנוכחיים של NTLM זמינים, הם ימשיכו להיות מחוברים.
מידע אודות פריסה
בהתאם לפרוסת תכונות מבוקרת של Microsoft (CFR), השינויים יתבצעו תחילה פריסה הדרגתית למחשבי Windows 11, גירסה 24H2, ולאחר מכן Windows Server 2025, כולל בקרי תחום.
פריסה הדרגתית מפיצה עדכון מהדורה לאורך פרק זמן, ולא את כולם בבת אחת. משמעות הדבר היא שהמשתמשים מקבלים את העדכונים במועדים שונים, וייתכן שהוא לא יהיה זמין באופן מיידי לכל המשתמשים.
