Eredeti közzététel dátuma: 2025. július 11.
TUDÁSBÁZIS-azonosító: 5064479
A témakör tartalma:
Bevezetés
Ez a cikk áttekintést nyújt az NT LAN Manager (NTLM) naplózási funkciójának a Windows 11 24H2-es és Windows Server 2025-ös verziójában történő közelgő változásairól. Ezek a fejlesztések az NTLM-hitelesítési tevékenységek láthatóságának növelésére szolgálnak, lehetővé téve a rendszergazdák számára a felhasználók identitásának, az NTLM-használat indoklásának, valamint azoknak a helyeknek a meghatározását, ahol az NTLM egy környezetben van alkalmazva. A továbbfejlesztett naplózás támogatja a továbbfejlesztett biztonsági monitorozást és a régi hitelesítési függőségek azonosítását.
Az NTLM naplózási módosításainak célja
Az NTLM-hitelesítés továbbra is jelen van a különböző vállalati forgatókönyvekben, gyakran az örökölt alkalmazások és konfigurációk miatt. Az NTLM elavulásának és a jövőbeli letiltásnak bejelentésével (lásd a Windows IT blogot A Windows-hitelesítés fejlődése) a frissített naplózási funkciók célja, hogy segítse a rendszergazdákat az NTLM-használat azonosításában, a használati minták megértésében és a lehetséges biztonsági kockázatok észlelésében, beleértve az NT LAN Manager 1-es verziójának (NTLMv1) használatát.
NTLM-naplózási naplók
Windows 11 24H2-es és Windows Server 2025-ös verzió új NTLM-naplózási képességeket vezet be az ügyfelek, kiszolgálók és tartományvezérlők számára. Minden összetevő naplókat hoz létre, amelyek részletes információkat nyújtanak az NTLM-hitelesítési eseményekről. Ezek a naplók a Microsoft > Windows > NTLM > Operational > alkalmazások és szolgáltatások naplói eseménymegtekintő alatt találhatók.
A meglévő NTLM-naplózási naplókhoz képest az új továbbfejlesztett naplózási módosítások lehetővé teszik a rendszergazdáknak, hogy válaszoljanak a Ki, a Miért és a Hol:
-
Ki használja az NTLM-et, beleértve a fiókot és a folyamatot a gépen.
-
Miért választotta az NTLM-hitelesítést a modern hitelesítési protokollok, például a Kerberos helyett.
-
Az NTLM-hitelesítés helye, beleértve a gép nevét és a gép IP-címét is.
A továbbfejlesztett NTLM-naplózás az ügyfelek és kiszolgálók NTLMv1-használatáról, valamint a tartományvezérlő által naplózott NTLMv1-használati tartományszintű használatáról is tartalmaz információkat.
Csoportházirend kezelése
Az új NTLM naplózási funkciók a frissített Csoportházirend-beállításokkal konfigurálhatók. A rendszergazdák ezekkel a házirendekkel határozhatják meg, hogy mely NTLM-hitelesítési események legyenek naplózva, és a környezetüknek megfelelően kezelhetik az ügyfelek, kiszolgálók és tartományvezérlők naplózási viselkedését.
Alapértelmezés szerint az események engedélyezve vannak.
-
Az ügyfél- és kiszolgálónaplózás esetében az eseményeket a Felügyeleti sablonok > System > NTLM területen található "NTLM továbbfejlesztett naplózás" szabályzat szabályozza.
-
A tartományvezérlő tartományszintű naplózása esetén az eseményeket a Felügyeleti sablonok > System > Netlogon területen található "Bővített tartományszintű NTLM-naplók naplózása" szabályzat szabályozza.
Naplózási szintek
Minden NTLM-auditnapló két különböző eseményazonosítóra van felosztva ugyanazokkal az információkkal, amelyek csak eseményszintenként különböznek:
-
Információ: Olyan szabványos NTLM-eseményeket jelez, mint például az NT LAN Manager 2-es verziójának (NTLMv2) hitelesítése, ahol a rendszer nem észlel csökkentett biztonságot.
-
Figyelmeztetés: Az NTLM biztonságának visszalépését jelzi, például az NTLMv1 használatát. Ezek az események kiemelik a nem biztonságos hitelesítést. Előfordulhat, hogy egy esemény "Figyelmeztetésként" van megjelölve az alábbihoz hasonló esetekben:
-
Az ügyfél, a kiszolgáló vagy a tartományvezérlő által észlelt NTLMv1-használat.
-
A továbbfejlesztett hitelesítésvédelem nem támogatottként vagy nem biztonságosként van megjelölve (további információért lásd: KB5021989: Kiterjesztett védelem a hitelesítéshez).
-
Bizonyos NTLM biztonsági funkciók, például az üzenetintegritási ellenőrzés (MIC) nem használatosak.
-
Ügyfélnaplók
Az új auditnaplók rögzítik a kimenő NTLM-hitelesítési kísérleteket. Ezek a naplók az NTLM-kapcsolatokat kezdeményező alkalmazásokra vagy szolgáltatásokra vonatkozó adatokat, valamint az egyes hitelesítési kérések vonatkozó metaadatait ják meg.
Az ügyfélnaplózás egy egyedi mezővel ( Usage Id/Reason) rendelkezik, amely kiemeli, hogy miért használták az NTLM-hitelesítést.
|
ID |
Leírás |
|
0 |
Ismeretlen ok. |
|
1 |
Az NTLM-et közvetlenül a hívó alkalmazás hívta meg. |
|
2 |
Helyi fiók hitelesítése. |
|
3 |
FENNTARTOTT, jelenleg nincs használatban. |
|
4 |
Felhőbeli fiók hitelesítése. |
|
5 |
A célnév hiányzik vagy üres. |
|
6 |
A célnév nem oldható fel Kerberos vagy más protokollok használatával. |
|
7 |
A célnév egy IP-címet tartalmaz. |
|
8 |
A célnév duplikálva lett az Active Directoryban. |
|
9 |
Tartományvezérlővel nem hozható létre látóvonal. |
|
10 |
Az NTLM visszacsatolási felületen keresztül lett meghívva. |
|
11 |
Az NTLM null értékű munkamenettel lett meghívva. |
|
Eseménynapló |
Microsoft-Windows-NTLM/Operational |
|
Eseményazonosító |
4020 (Információ), 4021 (Figyelmeztetés) |
|
Eseményforrás |
NTLM |
|
Esemény szövege |
Ez a gép NTLM-en keresztül próbált hitelesítést végezni egy távoli erőforráson. Folyamat adatai: Folyamat neve: <Név> Folyamatazonosító: PID-> < Ügyféladatok: Felhasználónév: <Felhasználónév> Tartomány: <tartománynév> Állomásnév: <állomásnév> Sign-On típusa: <single Sign-On / Megadott creds> Céladatok: Célgép: <gépnév> Céltartomány: <számítógép tartománya> Célerőforrás: <egyszerű szolgáltatásnév (SPN) > Cél IP-cím: <IP-cím> Célhálózat neve: <hálózatnév> NTLM-használat: Ok azonosítója: <használati azonosító> Ok: <használati ok> NTLM-biztonság: Egyeztetett jelzők: <jelzők> NTLM-verzió: <NTLMv2 / NTLMv1> Munkamenetkulcs állapota: < jelen lévő/hiányzó> Csatornakötés: < támogatott/nem támogatott> Szolgáltatáskötés: <egyszerű szolgáltatásnév (SPN) > MIC állapota: védett/nem védett> < AvFlags: NTLM-jelzők <> AvFlags-sztring: <NTLM jelölősztring> További információ: aka.ms/ntlmlogandblock. |
Kiszolgálónaplók
Az új auditnaplók rögzítik a bejövő NTLM-hitelesítési kísérleteket. Ezek a naplók hasonló részleteket szolgáltatnak az NTLM-hitelesítésről, mint az ügyfélnaplók, valamint arról is, hogy az NTLM-hitelesítés sikeres volt-e.
|
Eseménynapló |
Microsoft-Windows-NTLM/Operational |
|
Eseményazonosító |
4022 (Információ), 4023 (Figyelmeztetés) |
|
Eseményforrás |
NTLM |
|
Esemény szövege |
Egy távoli ügyfél NTLM-et használ a munkaállomáson való hitelesítéshez. Folyamat adatai: Folyamat neve: <Név> Folyamatazonosító: PID-> < Távoli ügyféladatok: Felhasználónév: <ügyfél-felhasználónév> Tartomány: <ügyféltartomány> Ügyfélszámítógép: <ügyfélgép nevének> Ügyfél IP-címe: <ügyfél IP-> Ügyfélhálózat neve: <ügyfélhálózat neve> NTLM-biztonság: Egyeztetett jelzők: <jelzők> NTLM-verzió: <NTLMv2 / NTLMv1> Munkamenetkulcs állapota: < jelen lévő/hiányzó> Csatornakötés: < támogatott/nem támogatott> Szolgáltatáskötés: <egyszerű szolgáltatásnév (SPN) > MIC állapota: védett/nem védett> < AvFlags: NTLM-jelzők <> AvFlags-sztring: <NTLM jelölősztring> Állapot: <állapotkód> Állapotüzenet: állapotsztring <> További információ: aka.ms/ntlmlogandblock |
Tartományvezérlő naplói
A tartományvezérlők számára előnyös a továbbfejlesztett NTLM-naplózás, az új naplók pedig a teljes tartomány sikeres és sikertelen NTLM-hitelesítési kísérleteit rögzítik. Ezek a naplók támogatják a tartományok közötti NTLM-használat azonosítását, és figyelmeztetik a rendszergazdákat a hitelesítési biztonság esetleges visszalépésére, például az NTLMv1-hitelesítésre.
A rendszer a következő forgatókönyvek alapján különböző tartományvezérlő-naplókat hoz létre:
Ha az ügyfélfiók és a kiszolgálógép is ugyanahhoz a tartományhoz tartozik, a következőhöz hasonló napló jön létre:
|
Eseménynapló |
Microsoft-Windows-NTLM/Operational |
|
Eseményazonosító |
4032 (Információ), 4033 (Figyelmeztetés) |
|
Eseményforrás |
Security-Netlogon |
|
Esemény szövege |
A tartományvezérlő <tartományvezérlő neve> feldolgozta a tartományból származó továbbított NTLM-hitelesítési kérést. Ügyféladatok: Ügyfél neve: <Felhasználónév> Ügyféltartomány: <tartomány> Ügyfélszámítógép: ügyfél-munkaállomás <> Kiszolgáló adatai: Kiszolgálónév: <kiszolgálógép neve> Kiszolgáló tartománya: <server domain> Kiszolgáló IP-címe: <kiszolgáló IP-> Kiszolgáló operációs rendszere: <Server Operating System> NTLM-biztonság: Egyeztetett jelzők: <jelzők> NTLM-verzió: <NTLMv2 / NTLMv1> Munkamenetkulcs állapota: < jelen lévő/hiányzó> Csatornakötés: < támogatott/nem támogatott> Szolgáltatáskötés: <egyszerű szolgáltatásnév (SPN) > MIC állapota: védett/nem védett> < AvFlags: NTLM-jelzők <> AvFlags-sztring: <NTLM jelölősztring> Állapot: <állapotkód> Állapotüzenet: állapotsztring <> További információ: aka.ms/ntlmlogandblock |
Ha az ügyfélfiók és a kiszolgáló különböző tartományokhoz tartozik, akkor a tartományvezérlő különböző naplókkal rendelkezik attól függően, hogy a tartományvezérlő ahhoz a tartományhoz tartozik,ahol az ügyfél található (a hitelesítés kezdeményezése) vagy a kiszolgáló helye (a hitelesítés elfogadása):
Ha a kiszolgáló ugyanahhoz a tartományhoz tartozik, mint a hitelesítést kezelő tartományvezérlő, a rendszer az "Azonos tartománynapló" naplóhoz hasonló naplót hoz létre.
Ha az ügyfélfiók ugyanabba a tartományba tartozik, mint a hitelesítést kezelő tartományvezérlő, a következőhöz hasonló napló jön létre:
|
Eseménynapló |
Microsoft-Windows-NTLM/Operational |
|
Eseményazonosító |
4030 (Információ), 4031 (Figyelmeztetés) |
|
Eseményforrás |
Security-Netlogon |
|
Esemény szövege |
A tartományvezérlő <tartományvezérlő neve> feldolgozta a tartományból származó továbbított NTLM-hitelesítési kérést. Ügyféladatok: Ügyfél neve: <Felhasználónév> Ügyféltartomány: <tartomány> Ügyfélszámítógép: ügyfél-munkaállomás <> Kiszolgáló adatai: Kiszolgálónév: <kiszolgálógép neve> Kiszolgáló tartománya: <server domain> Továbbított feladó: Biztonságos csatorna típusa: <Netlogon Biztonságos csatorna adatai> Távoli név: tartományközi tartományvezérlők > < Farside-tartomány: tartományközi tartománynév <> Távoli IP-cím: tartományközi tartományvezérlői IP-> < NTLM-biztonság: Egyeztetett jelzők: <jelzők> NTLM-verzió: <NTLMv2 / NTLMv1> Munkamenetkulcs állapota: < jelen lévő/hiányzó> Csatornakötés: < támogatott/nem támogatott> Szolgáltatáskötés: <egyszerű szolgáltatásnév (SPN) > MIC állapota: védett/nem védett> < AvFlags: NTLM-jelzők <> AvFlags-sztring: <NTLM jelölősztring> Állapot: <állapotkód> További információ: aka.ms/ntlmlogandblock |
Kapcsolat az új és a meglévő NTLM-események között
Az új NTLM-események továbbfejlesztik a meglévő NTLM-naplókat, például a Hálózati biztonság: Az NTLM-naplózás NTLM-hitelesítésének korlátozása ebben a tartományban. A továbbfejlesztett NTLM-naplózási módosítások nincsenek hatással az aktuális NTLM-naplókra; Ha az aktuális NTLM-naplózási naplók engedélyezve vannak, a rendszer továbbra is naplózza őket.
Üzembe helyezési információk
A Microsoft által felügyelt funkciók bevezetésének (CFR) megfelelően a módosítások először fokozatosan jelennek meg Windows 11 24H2-es verziójú gépeken, majd később Windows Server 2025-ös gépeken, beleértve a tartományvezérlőket is.
A fokozatos bevezetés nem egyszerre, hanem egy adott időszakban osztja el a kiadási frissítést. Ez azt jelenti, hogy a felhasználók különböző időpontokban kapják meg a frissítéseket, és előfordulhat, hogy nem lesznek azonnal elérhetők az összes felhasználó számára.
