Windows Server ベースのドメイン コントローラーで NTLMv1 の使用を監査する方法

適用対象: Windows Server 2008 R2 EnterpriseWindows Server 2016Windows Server 2012 R2 Standard 詳細

概要


この記事では、Windows Server ベースのドメイン コントローラーで NT LAN Manager (NTLM) バージョン 1 を使用しているアプリケーションをテストする手順について説明します。

コンピューターを設定して NTLMv2 だけを使用する前に、このテストを行うことができます。 コンピューターを構成して NTLMv2 だけを使用するには、ドメイン コントローラーの HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa キーの下にある LMCompatibilityLevel5 に設定します。

NTLM の監査


NTLMv1 を使用するアプリケーションを検索するには、ドメイン コントローラーでログオンの成功監査を有効にし、NTLM のバージョンに関する情報を含む成功監査イベント 4624 を探します。

以下のようなイベント ログが表示されます。

詳細情報


イベント ログでこのログオンを行うと、実際には NTLMv1 セッション セキュリティが使用されません。 キー マテリアルが存在しないため、実際にはセッション セキュリティはありません。

NTLM 監査のロジックでは、ログオン セッションで NTLMv2 キー マテリアルが検出されたときに NTLMv2 レベルの認証がログに記録されます。 NTLMv1 は匿名セッションを含む他のすべてのケースでログに記録されます。 したがって、「ANONYMOUS LOGON」のイベントが記録されたときに、セキュリティ プロトコル使用状況情報のイベントを無視することをお勧めします。

匿名ログオン セッションの共通ソースは次のとおりです。

  • コンピューター ブラウザー サービス: これは、Windows 2000 およびそれ以前のバージョンの Windows からの従来のサービスです。 このサービスは、ネットワーク上のコンピューターとドメインの一覧を提供します。 このサービスはバックグラウンドで実行されます。 ただし、このデータは現在使用されなくなりました。 このサービスは企業全体で無効にすることをお勧めします。
  • SID 名のマッピング: 匿名セッションを使用できます。 ネットワーク アクセス: を参照 匿名の SID と名前の変換を許可する。 この機能の認証を要求することをお勧めします。
  • 認証しないクライアント アプリケーション: アプリケーション サーバーでは、匿名としてログオン セッションを作成することもできます。 これは、NTLM 認証でユーザー名とパスワードに空の文字列が渡されたときにも行われます。