Izvorni datum objave: Srpanj 11, 2025
KB ID: 5064479
Sadržaj članka:
Uvod
Ovaj članak sadrži pregled nadolazećih promjena funkcija nadzora NT LAN Manager (NTLM) u Windows 11, verziji 24H2 i Windows Server 2025. Ta su poboljšanja osmišljena da bi se povećala vidljivost aktivnosti provjere autentičnosti NTLM-a, što administratorima omogućuje određivanje identiteta korisnika, obrazloženje korištenja NTLM-a i određenih mjesta na kojima se NTLM koristi unutar okruženja. Poboljšana revizija podržava poboljšano sigurnosno praćenje i utvrđivanje naslijeđenih zavisnosti provjere autentičnosti.
Svrha promjena nadzora NTLM-a
NTLM provjera autentičnosti i dalje je prisutna u raznim poslovnim scenarijima, često zbog naslijeđenih aplikacija i konfiguracija. Uz najavu ukidanja NTLM-a i budućeg onemogućivanja (pogledajte windows IT blog Razvoj provjere autentičnosti sustava Windows) ažurirane značajke nadzora namijenjene su pomaganju administratorima u prepoznavanju korištenja NTLM-a, razumijevanju obrazaca korištenja i otkrivanju potencijalnih sigurnosnih rizika, uključujući korištenje verzije NT LAN Managera 1 (NTLMv1).
NTLM zapisnici nadzora
Windows 11, verzija 24H2 i Windows Server 2025 uvode nove mogućnosti zapisivanja nadzora NTLM-a za klijente, poslužitelje i domenske kontrolere. Svaka komponenta generira zapisnike koji pružaju detaljne informacije o NTLM događajima provjere autentičnosti. Ti se zapisnici mogu pronaći Preglednik događaja u odjeljku Zapisnici aplikacija i servisa > Microsoft > Windows > NTLM > Operativni.
U usporedbi s postojećim NTLM zapisnicima nadzora, nove poboljšane promjene nadzora administratorima omogućuju da odgovore na pitanja Tko, Zašto i Gdje:
-
Tko koristi NTLM, uključujući račun i proces na računalu.
-
Zašto je odabrana NTLM provjera autentičnosti, a ne moderni protokoli za provjeru autentičnosti kao što je Kerberos.
-
Gdje se odvija NTLM provjera autentičnosti, uključujući i naziv računala i IP računala.
Poboljšani nadzor NTLM-a sadrži i informacije o korištenju NTLMv1 za klijente i poslužitelje, kao i o korištenju NTLMv1 za cijelu domenu koju zapisuje domenski kontroler.
pravilnik grupe upravljanje
Nove značajke nadzora NTLM-a moguće je konfigurirati putem ažuriranih pravilnik grupe postavki. Administratori mogu koristiti ta pravila da bi odredili koji se događaji provjere autentičnosti NTLM-a nad kojima se nadzire te da bi upravljali ponašanjem nadzora na klijentima, poslužiteljima i kontrolorima domena, ovisno o njihovoj okolini.
Događaji su po zadanom omogućeni.
-
Za zapisivanje klijenta i poslužitelja događaji se kontroliraju putem pravilnika "NTLM Enhanced Logging" u odjeljku Administrativni predlošci >sustav > NTLM.
-
Za zapisivanje na domenski kontroler događaji se kontroliraju putem pravilnika "Log Enhanced Domain-wide NTLM Logs" u odjeljku Administrativni predlošci >Sustav > Netlogon.
Razine nadzora
Svaki zapisnik nadzora NTLM-a podijeljen je na dva različita ID-a događaja s istim informacijama koje se razlikuju samo prema razini događaja:
-
Informacije: označava standardne NTLM događaje, kao što je provjera autentičnosti NT LAN Manager verzije 2 (NTLMv2), pri čemu nije otkriveno smanjenje sigurnosti.
-
Upozorenje: označava vraćanje NTLM sigurnosti, kao što je korištenje NTLMv1. Ti događaji ističu nesigurnu provjeru autentičnosti. Događaj može biti označen kao "upozorenje" za slučajeve kao što su sljedeće:
-
Korištenje NTLMv1 koje je otkrio klijent, poslužitelj ili kontrolor domene.
-
Poboljšana zaštita za provjeru autentičnosti označena je kao da nije podržana ili nesigurna (dodatne informacije potražite KB5021989: Proširena zaštita za provjeru autentičnosti).
-
Ne koriste se određene sigurnosne značajke NTLM-a, kao što je provjera integriteta poruke (MIC).
-
Klijentski zapisnici
Novi zapisnici nadzora bilježe odlazne NTLM pokušaje provjere autentičnosti. Ti zapisnici nude pojedinosti o aplikacijama ili servisima koji pokreće NTLM veze, zajedno s relevantnim metapodacima za svaki zahtjev za provjeru autentičnosti.
Klijentsko zapisivanje ima jedinstveno polje ID /razlog korištenja, što ističe zašto je korištena NTLM provjera autentičnosti.
|
ID |
Opis |
|
0 |
Nepoznat razlog. |
|
1 |
NTLM je pozvan izravno putem aplikacije za pozivanje. |
|
2 |
Provjera autentičnosti lokalnog računa. |
|
3 |
REZERVIRANO, trenutno se ne koristi. |
|
4 |
Provjera autentičnosti računa u oblaku. |
|
5 |
Naziv cilja nedostaje ili je prazan. |
|
6 |
Kerberos ili drugi protokoli ne mogu razriješiti ciljni naziv. |
|
7 |
Ciljni naziv sadrži IP adresu. |
|
8 |
Otkriveno je da je ciljni naziv dupliciran u servisu Active Directory. |
|
9 |
S kontrolorom domene nije moguće uspostaviti nijedan vidni redak. |
|
10 |
NTLM je pozvan putem sučelja za povratna petlju. |
|
11 |
NTLM je pozvan s sesijom null. |
|
Zapisnik događaja |
Microsoft-Windows-NTLM/Operational |
|
ID događaja |
4020 (informacije), 4021 (upozorenje) |
|
Izvor događaja |
NTLM |
|
Tekst događaja |
Ovo je računalo pokušalo provjeriti autentičnost udaljenog resursa putem NTLM-a. Podaci o postupku: Naziv procesa: <naziv> PID procesa: <PID> Informacije o klijentu: Korisničko ime: <korisničko> Domena: <naziv domene> Naziv glavnog računala: <glavnog računala> Sign-On vrste: <jedan Sign-On / isporučeni creds> Ciljne informacije: Ciljno računalo: <naziv računala> Ciljna domena: <domena računala> Ciljni resurs: <upravitelja servisa (SPN)> Ciljni IP: <IP adresa> Naziv ciljne mreže: <naziv mreže> Korištenje NTLM-a: ID razloga: <ID korištenja> Razlog: <razlog korištenja> NTLM Sigurnost: Negotiated Flags: <Flags> NTLM verzija: <NTLMv2 / NTLMv1> Stanje ključa sesije: < prezentacije /> Povezivanje kanala: < podržano / nije podržano> Povezivanje servisa: <upravitelja servisa (SPN)> STATUS MIKROFONA: < zaštićen / nezaštićeni> AvFlags: <NTLM zastavice> Niz avFlags: <NTLM niza zastavica> Dodatne informacije potražite u članku aka.ms/ntlmlogandblock. |
Zapisnici poslužitelja
Novi zapisnici nadzora bilježe dolazne NTLM pokušaje provjere autentičnosti. Ti zapisnici navedite slične pojedinosti o NTLM provjeri autentičnosti kao i klijentske zapisnike, kao i izvješće o tome je li provjera autentičnosti NTLM uspjela ili nije.
|
Zapisnik događaja |
Microsoft-Windows-NTLM/Operational |
|
ID događaja |
4022 (informacije), 4023 (upozorenje) |
|
Izvor događaja |
NTLM |
|
Tekst događaja |
Udaljeni klijent koristi NTLM za provjeru autentičnosti ove radne stanice. Podaci o postupku: Naziv procesa: <naziv> PID procesa: <PID> Informacije o udaljenom klijentu: Korisničko ime: <korisničko ime klijenta> Domena: <domena klijenta> Klijentsko računalo: <naziv klijentskog računala> IP klijenta: ip <klijenta> Naziv klijentske mreže: <naziv klijentske mreže> NTLM Sigurnost: Negotiated Flags: <Flags> NTLM verzija: <NTLMv2 / NTLMv1> Stanje ključa sesije: < prezentacije /> Povezivanje kanala: < podržano / nije podržano> Povezivanje servisa: <upravitelja servisa (SPN)> STATUS MIKROFONA: < zaštićen / nezaštićeni> AvFlags: <NTLM zastavice> Niz avFlags: <NTLM niza zastavica> Status: <kod statusa> Poruka o statusu: <niz statusa> Dodatne informacije potražite u članku aka.ms/ntlmlogandblock |
Zapisnici kontrolora domene
Kontroleri domene imaju koristi od poboljšanog NTLM nadzora, s novim zapisnicima koji snimaju uspješne i neuspješne NTLM pokušaje provjere autentičnosti za cijelu domenu. Ti zapisnici podržavaju identifikaciju korištenja NTLM-a na više domena i upozoravaju administratore na potencijalne povratne informacije u sigurnosti provjere autentičnosti, kao što je NTLMv1 provjera autentičnosti.
Različiti zapisnici kontrolora domene stvaraju se ovisno o sljedećim scenarijima:
Kada klijentski račun i poslužiteljsko računalo pripadaju istoj domeni, stvara se zapisnik sličan sljedećem:
|
Zapisnik događaja |
Microsoft-Windows-NTLM/Operational |
|
ID događaja |
4032 (informacije), 4033 (upozorenje) |
|
Izvor događaja |
Security-Netlogon |
|
Tekst događaja |
DC <DC Name> obradio proslijeđen zahtjev za NTLM provjeru autentičnosti koji potječe iz ove domene. Informacije o klijentu: Naziv klijenta: <korisničko> Domena klijenta: <domena> Klijentsko računalo: <klijentska radna stanica> Informacije o poslužitelju: Naziv poslužitelja: <naziv poslužitelja> Domena poslužitelja: <domena poslužitelja> IP poslužitelja: <IP> OPERACIJSKI SUSTAV poslužitelja: <poslužiteljski operacijski sustav> NTLM Sigurnost: Negotiated Flags: <Flags> NTLM verzija: <NTLMv2 / NTLMv1> Stanje ključa sesije: < prezentacije /> Povezivanje kanala: < podržano / nije podržano> Povezivanje servisa: <upravitelja servisa (SPN)> STATUS MIKROFONA: < zaštićen / nezaštićeni> AvFlags: <NTLM zastavice> Niz avFlags: <NTLM niza zastavica> Status: <kod statusa> Poruka o statusu: <niz statusa> Dodatne informacije potražite u članku aka.ms/ntlmlogandblock |
Ako klijentski račun i poslužitelj pripadaju različitim domenama, domenski kontroler će imati različite zapisnike ovisno o tome pripada li domenski kontroler domeni na kojoj se nalazi klijent (pokretanje provjere autentičnosti) ili mjesto na kojem se nalazi poslužitelj (prihvaćanje provjere autentičnosti):
Ako poslužitelj pripada istoj domeni kao i domenski kontroler koji rukuje provjerom autentičnosti, stvorit će se zapisnik sličan zapisniku iste domene.
Ako klijentski račun pripada istoj domeni kao i domenski kontroler koji rukuje provjerom autentičnosti, stvorit će se zapisnik sličan sljedećem:
|
Zapisnik događaja |
Microsoft-Windows-NTLM/Operational |
|
ID događaja |
4030 (informacije), 4031 (upozorenje) |
|
Izvor događaja |
Security-Netlogon |
|
Tekst događaja |
DC <DC Name> obradio proslijeđen zahtjev za NTLM provjeru autentičnosti koji potječe iz ove domene. Informacije o klijentu: Naziv klijenta: <korisničko> Domena klijenta: <domena> Klijentsko računalo: <klijentska radna stanica> Informacije o poslužitelju: Naziv poslužitelja: <naziv poslužitelja> Domena poslužitelja: <domena poslužitelja> Proslijeđeno iz: Vrsta sigurnog kanala: <Netlogon Secure Channel Info> Farside Name: <Cross-Domain DC Machine Name > Domena farside: <naziv domene na više domena> Farside IP: <CROSS-Domain DC IP> NTLM Sigurnost: Negotiated Flags: <Flags> NTLM verzija: <NTLMv2 / NTLMv1> Stanje ključa sesije: < prezentacije /> Povezivanje kanala: < podržano / nije podržano> Povezivanje servisa: <upravitelja servisa (SPN)> STATUS MIKROFONA: < zaštićen / nezaštićeni> AvFlags: <NTLM zastavice> Niz avFlags: <NTLM niza zastavica> Status: <kod statusa> Dodatne informacije potražite u članku aka.ms/ntlmlogandblock |
Odnos između novih i postojećih NTLM događaja
Novi NTLM događaji poboljšanja su postojećih NTLM zapisnika, kao što je mrežna sigurnost : ograničavanje NTLM nadzora NTLM provjere autentičnosti u ovoj domeni. Poboljšane promjene nadzora NTLM-a ne utječu na trenutne NTLM zapisnike. ako su omogućeni trenutni zapisnici nadzora NTLM-a, i dalje će biti zabilježeni.
Informacije o implementaciji
U skladu s Microsoftovim upravljanjem značajkama (CFR), promjene će se najprije postupno uvoditi na računala sa sustavom Windows 11, verziju 24H2, a zatim uređaje sa sustavom Windows Server 2025, uključujući domenski kontroleri.
Postupno uvodi ažuriranje izdanja tijekom određenog vremenskog razdoblja, a ne sve odjednom. To znači da korisnici primaju ažuriranja u različito vrijeme i možda neće biti odmah dostupna svim korisnicima.
