Sākotnējās publicēšanas datums: 2025. gada 11. jūlijs
KB ID: 5064479
Šajā rakstā:
Ievads
Šajā rakstā ir sniegts pārskats par gaidāmajām izmaiņām NT LAN pārvaldnieka (NTLM) auditēšanas funkcionalitātē Windows 11 24H2 un Windows Server 2025. Šie uzlabojumi ir paredzēti, lai palielinātu NTLM autentifikācijas darbību redzamību, ļaujot administratoriem noteikt lietotāju identitāti, racionālu NTLM lietojumu un konkrētās atrašanās vietas, kur NTLM tiek izmantots vidē. Uzlabota auditēšana atbalsta uzlabotu drošības pārraudzību un mantoto autentifikācijas atkarību noteikšanu.
NTLM auditēšanas izmaiņu mērķis
NTLM autentifikācija joprojām ir dažādos uzņēmuma scenārijos, bieži vien mantoto lietojumprogrammu un konfigurāciju dēļ. Ar paziņojumu par NTLM novecošanu un turpmāko atspējošanu (skatiet Windows IT emuāru Windows autentifikācijas atjaunošana) atjauninātie auditēšanas līdzekļi ir paredzēti, lai palīdzētu administratoriem identificēt NTLM lietojumu, izprast lietojuma modeļus un noteikt iespējamos drošības riskus, tostarp nt LAN pārvaldnieka 1. versijas (NTLMv1) izmantošanu.
NTLM auditēšanas žurnāli
Windows 11 24H2 un Windows Server 2025 versijā ieviestas jaunas NTLM audita reģistrēšanas iespējas klientiem, serveriem un domēnu kontrolleriem. Katrs komponents ģenerē žurnālus, kas sniedz detalizētu informāciju par NTLM autentifikācijas notikumiem. Šie žurnāli ir atrodami Notikumu skatītājs Microsoft > Windows> >NTLM > darbības sadaļā Lietojumprogrammu > pakalpojumu žurnāli.
Salīdzinājumā ar esošajiem NTLM auditēšanas žurnāliem jaunās uzlabotās auditēšanas izmaiņas ļauj administratoriem atbildēt uz administratoru, kādēļ un kur:
-
Kurš izmanto NTLM, tostarp kontu un procesu datorā.
-
Kāpēc tika izvēlēta NTLM autentifikācija, nevis modernās autentifikācijas protokoli, piemēram, Kerberos.
-
NTLM autentifikācijas notikumos, ieskaitot datora nosaukumu un IP.
Uzlabotā NTLM auditēšana arī sniedz informāciju par NTLMv1 lietojumu klientiem un serveriem, kā arī domēna kontrollera reģistrētā NTLMv1 lietojuma domēnu.
grupas politika pārvaldība
Jaunos NTLM auditēšanas līdzekļus var konfigurēt, izmantojot atjauninātus grupas politika iestatījumus. Administratori var izmantot šīs politikas, lai norādītu, kuri NTLM autentifikācijas notikumi tiek auditēti un pārvaldītu auditēšanas darbību visos klientos, serveros un domēna kontrolleros atbilstoši to videi.
Pēc noklusējuma notikumi ir iespējoti.
-
Klienta un servera reģistrēšanas gadījumā notikumi tiek kontrolēti, izmantojot NTLM uzlabotās reģistrēšanas politiku sadaļā Administratīvās veidnes >sistēmas > NTLM.
-
Domēna mēroga reģistrēšanai domēna kontrollerī notikumi tiek kontrolēti, izmantojot politiku "Reģistrēt uzlabotus domēnaM žurnālus" sadaļā Administratīvās veidnes >sistēmas > Netlogon.
Audita līmeņi
Katrs NTLM audita žurnāls tiek sadalīts divos atšķirīgos notikumu ID ar to pašu informāciju, kas tikai atšķiras pēc notikuma līmeņa:
-
Informācijas informācija. Norāda standarta NTLM notikumus, piemēram, NT LAN pārvaldnieka 2. versijas (NTLMv2) autentifikāciju, kur nav konstatēts drošības samazinājums.
-
Brīdinājums. Norāda NTLM drošības pazemināšanu, piemēram, NTLMv1 izmantošanu. Šie notikumi izceļ nedrošo autentifikāciju. Notikums var būt atzīmēts kā "Brīdinājums" šādām instancēm:
-
NTLMv1 lietojums, ko nosaka klients, serveris vai domēna kontrolleris.
-
Uzlabota autentifikācijas aizsardzība ir atzīmēta kā neatbalstāma vai nedroša (papildinformāciju skatiet rakstā KB5021989: autentifikācijas paplašinātā aizsardzība).
-
Atsevišķi NTLM drošības līdzekļi, piemēram, ziņojumu integritātes pārbaude (MIC), netiek izmantoti.
-
Klienta žurnāli
Jauni audita žurnālu ieraksti, kas reģistrē izejošā NTLM autentifikācijas mēģinājumus. Šie žurnāli piedāvā detalizētu informāciju par lietojumprogrammām vai pakalpojumiem uzsāc NTLM savienojumus, kā arī katra autentifikācijas pieprasījuma atbilstošos metadatus.
Klienta reģistrēšanai ir unikāls lauks Lietojuma ID/iemesls, kas norāda, kāpēc tika izmantota NTLM autentifikācija.
|
ID |
Apraksts |
|
0 |
Nezināms iemesls. |
|
1 |
NTLM tieši izsaukta, izmantojot zvanu lietojumprogrammu. |
|
2 |
Lokāla konta autentificēšana. |
|
3 |
RESERVED, pašlaik netiek lietots. |
|
4 |
Mākoņa konta autentificēšana. |
|
5 |
Trūkst mērķa nosaukuma vai tas ir tukšs. |
|
6 |
Mērķa nosaukumu nevarēja atrisināt Ar Kerberos vai citiem protokoliem. |
|
7 |
Mērķa nosaukumā ir ip adrese. |
|
8 |
Mērķa nosaukums tika atrasts kā dublēts pakalpojumā Active Directory. |
|
9 |
Domēnu kontrollerim nevar izveidot nekādu skatu līniju. |
|
10 |
NTLM tika izsaukts, izmantojot atgriezeniskā cilpa interfeisu. |
|
11 |
Tika izsaukts NTLM ar nulles sesiju. |
|
Notikumu žurnāls |
Microsoft-Windows-NTLM/Operational |
|
Notikuma ID |
4020 (Informācija), 4021 (brīdinājums) |
|
Notikuma avots |
NTLM |
|
Notikuma teksts |
Šis dators mēģināja autentificēties attālajā resursā, izmantojot NTLM. Procesa informācija: Procesa nosaukums: <nosaukuma> PID process: <PID> Klienta informācija: Lietotājvārds: <lietotājvārda> Domēns: <domēna nosaukuma> Resursdatora nosaukums: <resursdatora nosaukuma> Sign-On tips: <datu Sign-On/nodrošinātie akreditācijas> Mērķa informācija: Mērķa dators: <datora nosaukuma> Mērķa domēns: <datora domēna> Mērķa resurss: <pakalpojuma pamatnosauka (SPN)> Mērķa IP: <IP adreses> Mērķa tīkla nosaukums: <tīkla nosaukums> NTLM lietojums: Iemesla ID: <ID> Iemesls: <lietošanas> NTLM drošība: Pārrunu karodziņi: <karodziņi> NTLM versija: <NTLMv2 / NTLMv1> Sesijas atslēgas statuss: < prezentē/trūkstošas> Kanāla saistīšana: < /Netiek atbalstīts> Pakalpojumu saistīšana: <pakalpojuma pamatnosaucījums (SPN)> MIKROFONA statuss: < aizsargāts/> AvFlags: <NTLM flags> AvFlags String: <NTLM Flag String> Papildinformāciju skatiet rakstā aka.ms/ntlmlogandblock. |
Servera žurnāli
Jauni audita žurnāli reģistrē ienākošā NTLM autentifikācijas mēģinājumus. Šie žurnāli nodrošina līdzīgu informāciju par NTLM autentifikāciju kā klienta žurnālus, kā arī ziņo, vai NTLM autentifikācija izdevās.
|
Notikumu žurnāls |
Microsoft-Windows-NTLM/Operational |
|
Notikuma ID |
4022 (Informācija), 4023 (brīdinājums) |
|
Notikuma avots |
NTLM |
|
Notikuma teksts |
Attālais klients izmanto NTLM, lai veiktu autentifikāciju šajā darbstaciju. Procesa informācija: Procesa nosaukums: <nosaukuma> PID process: <PID> Attālā klienta informācija: Lietotājvārds: <klienta lietotājvārda> Domēns: <klienta domēna> Klienta dators: <klienta datora nosaukuma> Klienta IP: <klienta IP> Klienta tīkla nosaukums: <klienta tīkla> NTLM drošība: Pārrunu karodziņi: <karodziņi> NTLM versija: <NTLMv2 / NTLMv1> Sesijas atslēgas statuss: < prezentē/trūkstošas> Kanāla saistīšana: < /Netiek atbalstīts> Pakalpojumu saistīšana: <pakalpojuma pamatnosaucījums (SPN)> MIKROFONA statuss: < aizsargāts/> AvFlags: <NTLM flags> AvFlags String: <NTLM Flag String> Statuss: <koda> Statusa ziņojums: <virknes> Papildinformāciju skatiet rakstā aka.ms/ntlmlogandblock |
Domēna kontrollera žurnāli
Domēna kontrolleriem ir uzlabota NTLM auditēšana ar jauniem žurnāliem, kas tver gan sekmīgus, gan nesekmīgus NTLM autentifikācijas mēģinājumus visam domēnam. Šie žurnāli atbalsta vairāku domēnu NTLM lietojuma noteikšanu un brīdinājumu administratoru potenciālo pazemināšanu autentifikācijas drošībai, piemēram, NTLMv1 autentifikācijai.
Dažādi domēna kontrollera žurnāli tiek izveidoti atkarībā no šādiem scenārijiem:
Ja gan klienta konts, gan servera dators pieder tam pašam domēnam, tiek izveidots šim līdzīgs žurnāls:
|
Notikumu žurnāls |
Microsoft-Windows-NTLM/Operational |
|
Notikuma ID |
4032 (Informācija), 4033 (brīdinājums) |
|
Notikuma avots |
Security-Netlogon |
|
Notikuma teksts |
DC nosaukums <dc name> apstrādā pārsūtītu NTLM autentifikācijas pieprasījumu, kas tika veikts no šī domēna. Klienta informācija: Klienta nosaukums: <lietotājvārda> Klienta domēns: <domēna> Klienta dators: <klienta darbstacijas> Servera informācija: Servera nosaukums: <servera datora nosaukuma> Server Domain (Servera domēns): <Server Domain> Servera IP: <Servera IP> Servera operētājsistēma: <servera operētājsistēma> NTLM drošība: Pārrunu karodziņi: <karodziņi> NTLM versija: <NTLMv2 / NTLMv1> Sesijas atslēgas statuss: < prezentē/trūkstošas> Kanāla saistīšana: < /Netiek atbalstīts> Pakalpojumu saistīšana: <pakalpojuma pamatnosaucījums (SPN)> MIKROFONA statuss: < aizsargāts/> AvFlags: <NTLM flags> AvFlags String: <NTLM Flag String> Statuss: <koda> Statusa ziņojums: <virknes> Papildinformāciju skatiet rakstā aka.ms/ntlmlogandblock |
Ja klienta konts un serveris pieder pie dažādiem domēniem, domēna kontrollerim būs atšķirīgi žurnāli atkarībā no tā, vai domēna kontrolleris pieder domēnam, kurā atrodas klients (uzsāciet autentifikāciju) vai kur atrodas serveris (apstiprinot autentifikāciju):
Ja serveris pieder tam pašam domēnam, ar kuru darbojas domēna kontrolleris, kas apstrādā autentifikāciju, tiek izveidots žurnāls, kas līdzīgs "tāda paša domēna žurnālam".
Ja klienta konts pieder tam pašam domēna kontrollerim, kas apstrādā autentifikāciju, tiek izveidots līdzīgs šim līdzīgs žurnāls:
|
Notikumu žurnāls |
Microsoft-Windows-NTLM/Operational |
|
Notikuma ID |
4030 (Informācija), 4031 (brīdinājums) |
|
Notikuma avots |
Security-Netlogon |
|
Notikuma teksts |
DC nosaukums <dc name> apstrādā pārsūtītu NTLM autentifikācijas pieprasījumu, kas tika veikts no šī domēna. Klienta informācija: Klienta nosaukums: <lietotājvārda> Klienta domēns: <domēna> Klienta dators: <klienta darbstacijas> Servera informācija: Servera nosaukums: <servera datora nosaukuma> Server Domain (Servera domēns): <Server Domain> Pārsūtīts no: Droša kanāla tips: <Netlogon droša kanāla informācija> Farside nosaukums: <starpdomēnu DC datora nosaukuma > Farside domain: <Domain Name> Farside IP: <Cross-Domain DC IP> NTLM drošība: Pārrunu karodziņi: <karodziņi> NTLM versija: <NTLMv2 / NTLMv1> Sesijas atslēgas statuss: < prezentē/trūkstošas> Kanāla saistīšana: < /Netiek atbalstīts> Pakalpojumu saistīšana: <pakalpojuma pamatnosaucījums (SPN)> MIKROFONA statuss: < aizsargāts/> AvFlags: <NTLM flags> AvFlags String: <NTLM Flag String> Statuss: <koda> Papildinformāciju skatiet rakstā aka.ms/ntlmlogandblock |
Relācija starp jaunajiem un esošajiem NTLM notikumiem
Jaunie NTLM notikumi ir uzlabojumi esošajos NTLM žurnālos, piemēram, Tīkla drošība : NTLM audita NTLM autentifikācijas ierobežošana šajā domēnā. Uzlabotās NTLM auditēšanas izmaiņas neietekmē pašreizējos NTLM žurnālus. ja ir iespējoti pašreizējie NTLM auditēšanas žurnāli, tie joprojām tiks reģistrēti.
Informācija par izvietošanu
Saskaņā ar Microsoft kontrolēto līdzekļu riti (Microsoft controlled feature rollout — CFR) izmaiņas vispirms tiks pakāpeniski veiktas Windows 11 versijā 24H2 datoros, pēc tam Windows Server 2025 iekārtās, tostarp domēnu kontrolleros.
Pakāpeniska izlaišanas laikā tiek izplatīts laidiena atjauninājums, nevis viss uzreiz. Tas nozīmē, ka lietotāji saņem atjauninājumus dažādos laikos, un tie var nebūt uzreiz pieejami visiem lietotājiem.
