Windows Server ベースのドメイン コントローラーでの NTLMv1 の使用の監査

  • [アーティクル]

この記事では、Microsoft Windows Server ベースのドメイン コントローラーで NT LAN Manager (NTLM) バージョン 1 を使用しているアプリケーションをテストする手順について説明します。

適用対象: Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 4090105

概要

警告

レジストリ エディタや他の方法を使用してレジストリを変更する際、適切に変更しないと重大な問題を引き起こす可能性があります。 場合によっては、オペレーティング システムの再インストールが必要になります。 マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。 レジストリの変更はユーザー自身の責任において行ってください。

NTLMv2 のみを使用するようにコンピューターを設定する前に、このテストを行うことができます。 NTLMv2 のみを使用するようにコンピューターを構成するには、ドメイン コントローラーのキーの下で HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaLMCompatibilityLevel5 に設定します。

NTLM 監査

NTLMv1 を使用するアプリケーションを見つけるには、ドメイン コントローラーでログオン成功監査を有効にし、NTLM のバージョンに関する情報を含む成功監査イベント 4624 を探します。

次のようなイベント ログが表示されます。

Sample Event ID: 4624  
Source: Microsoft-Windows-Security-Auditing  
Event ID: 4624  
Task Category: Logon  
Level: Information  
Keywords: Audit Success  
Description:  
An account was successfully logged on.  
Subject:  
Security ID: NULL SID  
Account Name: -  
Account Domain: -  
Logon ID: 0x0  
Logon Type: 3  

New Logon:  
Security ID: ANONYMOUS LOGON  
Account Name: ANONYMOUS LOGON  
Account Domain: NT AUTHORITY  
Logon ID: 0xa2226a  
Logon GUID: {00000000-0000-0000-0000-000000000000}

Process Information:  
Process ID: 0x0  
Process Name: -  
Network Information:  
Workstation Name: Workstation1  
Source Network Address:\<ip address>  
Source Port: 49194

Detailed Authentication Information:  
Logon Process: NtLmSsp  
Authentication Package: NTLM  
Transited Services: -  
Package Name (NTLM only): NTLM V1  
Key Length: 128

詳細

イベント ログのこのログオンでは、NTLMv1 セッション セキュリティは実際には使用されません。 キー マテリアルが存在しないため、実際にはセッション セキュリティはありません。

NTLM 監査のロジックは、ログオン セッションで NTLMv2 キー マテリアルが見つかると、NTLMv2 レベルの認証をログに記録することです。 匿名セッションを含む他のすべてのケースで NTLMv1 をログに記録します。 そのため、一般的な推奨事項は、イベントが ANONYMOUS LOGON のためにログに記録されるときに、セキュリティ プロトコルの使用状況情報のイベントを無視することです。

匿名ログオン セッションの一般的なソースは次のとおりです。

  • コンピューター ブラウザー サービス: Windows 2000 以前のバージョンの Windows からのレガシ サービスです。 このサービスは、ネットワーク上のコンピューターとドメインの一覧を提供します。 サービスはバックグラウンドで実行されます。 ただし、現在、このデータは使用されなくなりました。 エンタープライズ全体でこのサービスを無効にすることをお勧めします。

  • SID-Name マッピング: 匿名セッションを使用できます。 「ネットワーク アクセス: 匿名 SID/名前変換を許可する」を参照してください。 この機能には認証を必要とすることをお勧めします。

  • 認証されないクライアント アプリケーション: アプリケーション サーバーは、匿名としてログオン セッションを作成する可能性があります。 これは、NTLM 認証でユーザー名とパスワードに渡される空の文字列がある場合にも実行されます。