Pradinė publikavimo data: 2025 m. liepos 11 d.
KB ID: 5064479
Šiame straipsnyje:
Įžanga
Šiame straipsnyje apžvelgiami būsimi NT LAN tvarkytuvo (NTLM) audito funkcijų pakeitimai Windows 11 24H2 ir 2025 Windows Server versijose. Šie patobulinimai skirti padidinti matomumą į NTLM autentifikavimo veiklą, kad administratoriai galėtų nustatyti vartotojų tapatybę, NTLM naudojimo pagrindimą ir konkrečias vietas, kuriose NTLM dirba aplinkoje. Patobulintas auditas palaiko patobulintą saugos stebėjimą ir senstelėjusių autentifikavimo priklausomybių identifikavimą.
NTLM audito pakeitimų paskirtis
NTLM autentifikavimas ir toliau veikia įvairiuose įmonės scenarijuose, dažnai dėl senstelėjusių programų ir konfigūracijų. Pranešus apie NTLM nuvertėjimą ir būsimą išjungimą (žr. "Windows" IT tinklaraštį "Windows" autentifikavimo plėtotė) atnaujintos audito funkcijos skirtos padėti administratoriams nustatyti NTLM naudojimą, suprasti naudojimo modelius ir aptikti galimas saugos grėsmes, įskaitant NT LAN tvarkytuvo 1 versijos (NTLMv1) naudojimą.
NTLM audito žurnalai
Windows 11 24H2 ir Windows Server 2025" versijose pristatomos naujos NTLM audito registravimo galimybės klientams, serveriams ir domeno valdikliams. Kiekvienas komponentas sugeneruoja žurnalus, kurie teikia išsamią informaciją apie NTLM autentifikavimo įvykius. Šiuos žurnalus galima rasti Įvykių peržiūros programa dalyje Programų ir paslaugų žurnalai > Microsoft > Windows > NTLM > Operational.
Palyginti su esamais NTLM audito žurnalais, nauji išplėstiniai audito pakeitimai leidžia administratoriams atsakyti į klausimus Kas, Kodėl ir Kur:
-
Kas naudoja NTLM, įskaitant paskyrą ir procesą kompiuteryje.
-
Kodėl buvo pasirinktas NTLM autentifikavimas, o ne modernaus autentifikavimo protokolai, pvz., "Kerberos".
-
Kur vyksta NTLM autentifikavimas, įskaitant kompiuterio pavadinimą ir kompiuterio IP.
Patobulintas NTLM auditas taip pat teikia informaciją apie NTLMv1 naudojimą klientams ir serveriams, taip pat NTLMv1 naudojimo domeną, kurį užregistravo domeno valdiklis.
Grupės strategija valdymas
Naujas NTLM audito funkcijas galima konfigūruoti naudojant atnaujintus Grupės strategija parametrus. Administratoriai gali naudoti šias strategijas norėdami nurodyti, kurie NTLM autentifikavimo įvykiai tikrinami, ir valdyti audito veikimą klientuose, serveriuose ir domeno valdikliuose pagal savo aplinką.
Pagal numatytuosius parametrus įvykiai yra įjungti.
-
Kliento ir serverio registravimo įvykiai valdomi pagal administravimo šablonų strategiją NTLM patobulintas registravimas > sistemos > NTLM.
-
Domeno valdiklyje registruojamus įvykius valdo strategija "Registruoti išplėstinius domeno NTLM žurnalus" dalyje Administravimo šablonai > sistemos > registravimo.
Audito lygiai
Kiekvienas NTLM audito žurnalas padalytas į du skirtingus įvykių ID su ta pačia informacija, kuri skiriasi tik įvykio lygiu:
-
Informacija: nurodo standartinius NTLM įvykius, pvz., NT LAN tvarkytuvo 2 versijos (NTLMv2) autentifikavimą, kai neaptikta jokio saugos mažinimo.
-
Įspėjimas: nurodo NTLM saugos ankstesnės versijos paleidimą, pvz., NTLMv1 naudojimą. Šie įvykiai paryškina nesaugų autentifikavimą. Įvykis gali būti pažymėtas kaip įspėjimas tokiais atvejais:
-
NTLMv1 naudojimą aptiko klientas, serveris arba domeno valdiklis.
-
Patobulinta autentifikavimo apsauga pažymėta kaip nepalaikoma arba nesaugi (daugiau informacijos žr . KB5021989: Išplėstinė autentifikavimo apsauga).
-
Tam tikros NTLM saugos funkcijos, pvz., pranešimų vientisumo tikrinimas (MIC), nenaudojamos.
-
Klientų žurnalai
Nauji audito žurnalai įrašo siunčiamus NTLM autentifikavimo bandymus. Šiuose žurnaluose pateikiama išsami informacija apie programas arba tarnybas, inicijuojamas NTLM ryšius, kartu su atitinkamais kiekvienos autentifikavimo užklausos metaduomenimis.
Klientų registravimas turi unikalų lauką Naudojimo ID/priežastis, kuris nurodo, kodėl buvo naudojamas NTLM autentifikavimas.
|
ID |
Aprašas |
|
0 |
Nežinoma priežastis. |
|
1 |
NTLM buvo iškviestas tiesiogiai iš iškvietimo programos. |
|
2 |
Vietinės paskyros autentifikavimas. |
|
3 |
RESERVED, šiuo metu nenaudojama. |
|
4 |
Autentifikavimas debesies paskyrai. |
|
5 |
Paskirties vietos pavadinimo nėra arba jis tuščias. |
|
6 |
Kerberos ar kiti protokolai negali išspręsti paskirties vietos pavadinimo. |
|
7 |
Paskirties vietos pavadinime yra IP adresas. |
|
8 |
Buvo nustatyta, kad paskirties vietos pavadinimas buvo dubliuotas "Active Directory". |
|
9 |
Naudojant domeno valdiklį nepavyko nustatyti jokios akių linijos. |
|
10 |
NTLM buvo iškviestas naudojant kilpinės jungties sąsają. |
|
11 |
NTLM buvo iškviestas su neapibrėžtu seansu. |
|
Įvykių žurnalas |
Microsoft-Windows-NTLM/Operational |
|
Įvykio ID |
4020 (Informacija), 4021 (įspėjimas) |
|
Įvykio šaltinis |
NTLM |
|
Įvykio tekstas |
Šis kompiuteris bandė autentifikuotis nuotoliniame ištekliuje per NTLM. Proceso informacija: Proceso pavadinimas: <pavadinimas> Process PID: <PID> Kliento informacija: Vartotojo vardas: <vartotojo vardo> Domenas: <domeno vardo> Pagrindinio kompiuterio vardas: <pagrindinio kompiuterio vardo> Sign-On tipas: <viengubas Sign-On / pateiktas creds> Tikslinė informacija: Tikslinis kompiuteris: <kompiuterio pavadinimo> Paskirties domenas: <kompiuterio domeno> Paskirties išteklius: <pagrindinis tarnybos pavadinimas (SPN)> Tikslinis IP: <IP adreso> Tikslinio tinklo pavadinimas: <tinklo pavadinimo> NTLM naudojimas: Priežasties ID: <naudojimo ID> Priežastis: <naudojimo priežastis> NTLM sauga: Derybų vėliavėlės: <vėliavėlės> NTLM versija: <NTLMv2 / NTLMv1> Seanso rakto būsena: < yra / trūksta> Kanalo susiejimas: < palaikomas / nepalaikomas> Tarnybos susiejimas: <pagrindinis tarnybos pavadinimas (SPN)> MIC būsena: < apsaugotas / neapsaugotas> AvFlags: <NTLM vėliavėlės> AvFlags eilutė: <NTLM vėliavėlės eilutė> Daugiau informacijos žr. aka.ms/ntlmlogandblock. |
Serverio žurnalai
Nauji audito žurnalų įrašai, gaunami NTLM autentifikavimo bandymai. Šie žurnalai pateikia panašią informaciją apie NTLM autentifikavimą kaip kliento žurnalai, taip pat praneša, ar NTLM autentifikavimas pavyko, ar ne.
|
Įvykių žurnalas |
Microsoft-Windows-NTLM/Operational |
|
Įvykio ID |
4022 (Informacija), 4023 (įspėjimas) |
|
Įvykio šaltinis |
NTLM |
|
Įvykio tekstas |
Nuotolinis klientas naudoja NTLM autentifikuoti šioje darbo vietoje. Proceso informacija: Proceso pavadinimas: <pavadinimas> Process PID: <PID> Nuotolinio kliento informacija: Vartotojo vardas: <kliento vartotojo vardo> Domenas: <kliento domeno> Kliento kompiuteris: <kliento kompiuterio pavadinimo> Kliento IP: <kliento IP> Kliento tinklo pavadinimas: <kliento tinklo pavadinimas> NTLM sauga: Derybų vėliavėlės: <vėliavėlės> NTLM versija: <NTLMv2 / NTLMv1> Seanso rakto būsena: < yra / trūksta> Kanalo susiejimas: < palaikomas / nepalaikomas> Tarnybos susiejimas: <pagrindinis tarnybos pavadinimas (SPN)> MIC būsena: < apsaugotas / neapsaugotas> AvFlags: <NTLM vėliavėlės> AvFlags eilutė: <NTLM vėliavėlės eilutė> Būsena: <būsenos kodo> Būsenos pranešimas: <būsenos eilutės> Daugiau informacijos žr. aka.ms/ntlmlogandblock |
Domeno valdiklio žurnalai
Domeno valdikliams naudingas patobulintas NTLM auditas su naujais žurnalais, kurie fiksuoja sėkmingus ir nesėkmingus NTLM autentifikavimo bandymus visam domenui. Šie žurnalai palaiko kelių domenų NTLM naudojimo identifikavimą ir įspėja administratorius apie galimas autentifikavimo saugos ankstesnę versiją, pvz., NTLMv1 autentifikavimą.
Skirtingi domeno valdiklio žurnalai sukuriami atsižvelgiant į šiuos scenarijus:
Kai kliento abonementas ir serverio kompiuteris priklauso tam pačiam domenui, sukuriamas žurnalas, panašus į šį:
|
Įvykių žurnalas |
Microsoft-Windows-NTLM/Operational |
|
Įvykio ID |
4032 (Informacija), 4033 (įspėjimas) |
|
Įvykio šaltinis |
Security-Netlogon |
|
Įvykio tekstas |
DC <DC pavadinimas> apdorojo persiunčiamą šio domeno NTLM autentifikavimo užklausą. Kliento informacija: Kliento vardas: <vartotojo vardo> Kliento domenas: <domeno> Kliento kompiuteris: <kliento darbo vietos> Serverio informacija: Serverio vardas: <serverio kompiuterio vardo> Serverio domenas: <serverio domeno> Serverio IP: <Serverio IP> Serverio OS: <Server" operacinės sistemos> NTLM sauga: Derybų vėliavėlės: <vėliavėlės> NTLM versija: <NTLMv2 / NTLMv1> Seanso rakto būsena: < yra / trūksta> Kanalo susiejimas: < palaikomas / nepalaikomas> Tarnybos susiejimas: <pagrindinis tarnybos pavadinimas (SPN)> MIC būsena: < apsaugotas / neapsaugotas> AvFlags: <NTLM vėliavėlės> AvFlags eilutė: <NTLM vėliavėlės eilutė> Būsena: <būsenos kodo> Būsenos pranešimas: <būsenos eilutės> Daugiau informacijos žr. aka.ms/ntlmlogandblock |
Jei kliento paskyra ir serveris priklauso skirtingiems domenams, domeno valdiklis turės skirtingus žurnalus, atsižvelgiant į tai, ar domeno valdiklis priklauso domenui, kuriame yra klientas (inicijuojamas autentifikavimas) arba kur yra serveris (priimdami autentifikavimą):
Jei serveris priklauso tam pačiam domenui kaip domeno valdiklis, kuris tvarko autentifikavimą, sukuriamas žurnalas, panašus į to paties domeno žurnalą.
Jei kliento abonementas priklauso tam pačiam domenui kaip domeno valdiklis, kuris apdorodavo autentifikavimą, sukuriamas panašus į šį žurnalas:
|
Įvykių žurnalas |
Microsoft-Windows-NTLM/Operational |
|
Įvykio ID |
4030 (Informacija), 4031 (įspėjimas) |
|
Įvykio šaltinis |
Security-Netlogon |
|
Įvykio tekstas |
DC <DC pavadinimas> apdorojo persiunčiamą šio domeno NTLM autentifikavimo užklausą. Kliento informacija: Kliento vardas: <vartotojo vardo> Kliento domenas: <domeno> Kliento kompiuteris: <kliento darbo vietos> Serverio informacija: Serverio vardas: <serverio kompiuterio vardo> Serverio domenas: <serverio domeno> Peradresuotas iš: Secure Channel Type: <Netlogon Secure Channel Info> "Farside" pavadinimas: <kelių domenų DC kompiuterio vardas > "Farside Domain": <kelių domenų domenų vardų> "Farside" IP: <kelių domenų DC IP> NTLM sauga: Derybų vėliavėlės: <vėliavėlės> NTLM versija: <NTLMv2 / NTLMv1> Seanso rakto būsena: < yra / trūksta> Kanalo susiejimas: < palaikomas / nepalaikomas> Tarnybos susiejimas: <pagrindinis tarnybos pavadinimas (SPN)> MIC būsena: < apsaugotas / neapsaugotas> AvFlags: <NTLM vėliavėlės> AvFlags eilutė: <NTLM vėliavėlės eilutė> Būsena: <būsenos kodo> Daugiau informacijos žr. aka.ms/ntlmlogandblock |
Ryšys tarp naujų ir esamų NTLM įvykių
Nauji NTLM įvykiai yra esamų NTLM žurnalų patobulinimas, pvz., tinklo sauga: apriboti NTLM audito NTLM autentifikavimą šiame domene. Patobulinti NTLM audito pakeitimai neturi įtakos dabartiniams NTLM žurnalams; jei įjungti dabartiniai NTLM audito žurnalai, jie ir toliau bus registruojami.
Diegimo informacija
Pagal "Microsoft" valdomą funkcijų diegimą (CFR) pakeitimai pirmiausia bus palaipsniui diegiami į Windows 11 24H2 versijos įrenginius, o vėliau Windows Server 2025" kompiuterius, įskaitant domeno valdiklius.
Laipsniškas diegimas paskirsto leidimo naujinimą per tam tikrą laikotarpį, o ne visus iš karto. Tai reiškia, kad vartotojai gauna naujinimus skirtingu laiku ir gali būti iš karto pasiekiami ne visiems vartotojams.
