Pôvodný dátum publikovania: 11. júla 2025
KB ID: 5064479
Obsah tohto článku:
Úvod
Tento článok obsahuje prehľad o pripravovaných zmenách funkcií auditovania NT LAN Manager (NTLM) v Windows 11 verzie 24H2 a Windows Server 2025. Tieto vylepšenia sú navrhnuté tak, aby sa zvýšila viditeľnosť aktivity overovania NTLM, čo umožňuje správcom určiť identitu používateľov, dôvody používania NTLM a konkrétne miesta, kde je NTLM zamestnané v prostredí. Vylepšené auditovanie podporuje vylepšené monitorovanie zabezpečenia a identifikáciu starších závislostí overovania.
Účel zmien auditovania NTLM
Overovanie NTLM je naďalej prítomné v rôznych podnikových scenároch, často v dôsledku starších aplikácií a konfigurácií. S oznámením o zamietnutí NTLM a budúce vypnutie (pozri Windows IT Blog Vývoj overovania systému Windows) aktualizované funkcie auditovania sú určené na pomoc správcom pri identifikácii ntlm použitie, pochopenie vzory používania, a zisťovanie potenciálnych bezpečnostných rizík, vrátane použitia NT LAN Manager verzia 1 (NTLMv1).
Denníky auditovania NTLM
Windows 11 verzie 24H2 a Windows Server 2025 zavádzajú nové možnosti zapisovania do denníka auditu NTLM pre klientov, servery a radiče domén. Každá súčasť generuje denníky, ktoré poskytujú podrobné informácie o udalostiach overovania NTLM. Tieto denníky nájdete v Zobrazovač udalostí v časti Denníky aplikácií a služieb > Microsoft > Windows > NTLM > prevádzkové.
V porovnaní s existujúcimi denníkmi auditovania NTLM nové rozšírené zmeny auditovania umožňujú správcom odpovedať na who, the Why a Where:
-
Kto používa NTLM, vrátane konta a procesu v počítači.
-
Prečo bolo vybrané overovanie NTLM namiesto moderných overovacích protokolov, ako je napríklad Kerberos.
-
Miesto, kde prebieha overovanie NTLM, vrátane názvu počítača aj IP adresy počítača.
Rozšírené auditovanie NTLM tiež poskytuje informácie o používaní NTLMv1 pre klientov a servery, rovnako ako NTLMv1 použitie domény-široký prihlásený radič domény.
správa skupinová politika
Nové funkcie auditovania NTLM sa konfigurujú prostredníctvom aktualizovaných nastavení skupinová politika. Správcovia môžu pomocou týchto politík určiť, ktoré udalosti overovania NTLM sa budú auditovať, a spravovať správanie auditovania v klientoch, serveroch a radičoch domény podľa potreby pre ich prostredie.
Udalosti sú predvolene povolené.
-
Pre zapisovanie klientov a serverov do denníka sa udalosti kontrolujú prostredníctvom politiky rozšíreného zapisovania do denníka NTLM v časti Šablóny na správu > systém > NTLM.
-
Pri zapisovaní do denníka domény na radiči domény sa udalosti riadia prostredníctvom politiky Log Enhanced Domain-wide NTLM Logs v časti Šablóny na správu > system > Netlogon.
Úrovne auditu
Každý denník auditu NTLM je rozdelený do dvoch rôznych identifikátorov udalostí s rovnakými informáciami, ktoré sa líšia len podľa úrovne udalosti:
-
Informácie: Označuje štandardné udalosti NTLM, ako je napríklad overovanie nt lan manager verzie 2 (NTLMv2), kde sa nezistilo žiadne zníženie zabezpečenia.
-
Upozornenie: Označuje zníženie zabezpečenia NTLM, ako je napríklad použitie NTLMv1. Tieto udalosti zvýrazňujú nezabezpečené overovanie. Udalosť môže byť označená ako upozornenie pre nasledujúce inštancie:
-
Používanie NTLMv1 zistené klientom, serverom alebo radičom domény.
-
Rozšírená ochrana overovania je označená ako nepodporovaná alebo nezabezpečená (ďalšie informácie nájdete v téme KB5021989: Rozšírená ochrana overovania).
-
Niektoré funkcie zabezpečenia NTLM, ako je napríklad kontrola integrity správy (MIC), sa nepoužívajú.
-
Denníky klientov
Nové denníky auditu zaznamenávali pokusy o overenie odchádzajúcej pošty NTLM. Tieto denníky poskytujú podrobnosti o aplikáciách alebo službách inicializačných pripojení NTLM spolu s príslušnými metaúdajmi pre každú žiadosť o overenie.
Zapisovanie klientov do denníka má jedinečné pole Id používania/Dôvod, ktoré zvýrazňuje, prečo sa použilo overovanie NTLM.
|
ID |
Popis |
|
0 |
Neznámy dôvod. |
|
1 |
NTLM bola volaná priamo volaním aplikácie. |
|
2 |
Overuje sa lokálne konto. |
|
3 |
VYHRADENÉ, momentálne sa nepoužíva. |
|
4 |
Overuje sa cloudové konto. |
|
5 |
Názov cieľa chýbal alebo bol prázdny. |
|
6 |
Cieľový názov sa nepodarilo rozpoznať pomocou protokolu Kerberos alebo iných protokolov. |
|
7 |
Cieľový názov obsahuje IP adresu. |
|
8 |
Zistilo sa, že cieľový názov bol duplicitný v službe Active Directory. |
|
9 |
S radičom domény nebolo možné vytvoriť žiadnu líniu zraku. |
|
10 |
NTLM bola volaná cez rozhranie loopback. |
|
11 |
Systém NTLM bol volaný s reláciou s hodnotou null. |
|
Denník udalostí |
Microsoft-Windows-NTLM/Prevádzkové |
|
Identifikačné číslo udalosti |
4020 (informácie), 4021 (upozornenie) |
|
Zdroj udalosti |
NTLM |
|
Text udalosti |
Tento počítač sa pokúsil overiť vzdialený prostriedok cez NTLM. Informácie o procese: Názov procesu: <názov> Pid procesu: <PID> Informácie o klientovi: Meno používateľa: <> mena používateľa Doména: <názov domény> Názov hostiteľa: <názov hostiteľa> typ Sign-On: <single Sign-On /Supplied Creds> Cieľové informácie: Cieľový počítač: <názov počítača> Cieľová doména: <> domény počítača Cieľový zdroj: <hlavný názov služby (SPN)> Cieľová IP adresa: <IP adresa> Názov cieľovej siete: <názov siete> Využitie NTLM: Identifikácia dôvodu: <ID používania> Dôvod: <dôvod používania> Zabezpečenie NTLM: Rokované príznaky: <príznaky> Verzia NTLM: <NTLMv2 / NTLMv1> Stav kľúča relácie: < prítomný/chýbajúci> Väzba kanála: < podporované/Nepodporované> Väzba služby: <hlavný názov služby (SPN)> Stav mikrofónu: < chránený/nezabezpečený> AvFlags: <NTLM Flags> Reťazec AvFlags: <reťazec príznaku NTLM> Ďalšie informácie nájdete v téme aka.ms/ntlmlogandblock. |
Denníky servera
Nové denníky auditu zaznamenávať prichádzajúce pokusy o overenie NTLM. Tieto denníky poskytujú podobné podrobnosti o overení NTLM ako denníky klienta, ako aj hlásenie, či overovanie NTLM bolo úspešné alebo nie.
|
Denník udalostí |
Microsoft-Windows-NTLM/Prevádzkové |
|
Identifikačné číslo udalosti |
4022 (informácie), 4023 (upozornenie) |
|
Zdroj udalosti |
NTLM |
|
Text udalosti |
Vzdialený klient používa NTLM na overenie tejto pracovnej stanice. Informácie o procese: Názov procesu: <názov> Pid procesu: <PID> Informácie o vzdialenom klientovi: Meno používateľa: <meno používateľa klienta> Doména: <client domain> Klientsky počítač: <názov klientskeho počítača> IP adresa klienta: <IP> klienta Názov klientskej siete: <názov siete klienta> Zabezpečenie NTLM: Rokované príznaky: <príznaky> Verzia NTLM: <NTLMv2 / NTLMv1> Stav kľúča relácie: < prítomný/chýbajúci> Väzba kanála: < podporované/Nepodporované> Väzba služby: <hlavný názov služby (SPN)> Stav mikrofónu: < chránený/nezabezpečený> AvFlags: <NTLM Flags> Reťazec AvFlags: <reťazec príznaku NTLM> Stav: <kód stavu> Stavové hlásenie: <reťazec stavu> Ďalšie informácie nájdete v téme aka.ms/ntlmlogandblock |
Denníky radiča domény
Radiče domény ťažia z rozšíreného auditovania NTLM s novými denníkmi, ktoré zachytávajú úspešné aj neúspešné pokusy o overenie NTLM pre celú doménu. Tieto denníky podporujú identifikáciu využitia NTLM medzi doménami a upozorňujú správcov na možné prechody na staršiu verziu zabezpečenia overovania, ako je napríklad overovanie NTLMv1.
V závislosti od nasledujúcich scenárov sa vytvárajú rôzne denníky radiča domény:
Keď klientske konto aj serverový počítač patria do rovnakej domény, vytvorí sa denník podobný nasledujúcemu:
|
Denník udalostí |
Microsoft-Windows-NTLM/Prevádzkové |
|
Identifikačné číslo udalosti |
4032 (informácie), 4033 (upozornenie) |
|
Zdroj udalosti |
Security-Netlogon |
|
Text udalosti |
Dc <dc názov> spracoval preposlaný NTLM žiadosť o overenie pochádzajúce z tejto domény. Informácie o klientovi: Názov klienta: <meno používateľa> Doména klienta: <domain> Klientsky počítač: pracovná stanica klienta <> Informácie o serveri: Názov servera: <názov servera> Doména servera: <Server Domain> IP adresa servera: IP> servera < Operačný systém servera: <serverový operačný systém> Zabezpečenie NTLM: Rokované príznaky: <príznaky> Verzia NTLM: <NTLMv2 / NTLMv1> Stav kľúča relácie: < prítomný/chýbajúci> Väzba kanála: < podporované/Nepodporované> Väzba služby: <hlavný názov služby (SPN)> Stav mikrofónu: < chránený/nezabezpečený> AvFlags: <NTLM Flags> Reťazec AvFlags: <reťazec príznaku NTLM> Stav: <kód stavu> Stavové hlásenie: <reťazec stavu> Ďalšie informácie nájdete v téme aka.ms/ntlmlogandblock |
Ak klientske konto a server patria do rôznych domén, potom bude mať radič domény rôzne denníky v závislosti od toho, či radič domény patrí do domény, v ktorej sa klient nachádza (inicializuje overenie) alebo kde sa server nachádza (prijatie overovania):
Ak server patrí do rovnakej domény ako radič domény, ktorý spracováva overovanie, vytvorí sa denník podobný denníku rovnakej domény.
Ak klientske konto patrí do tej istej domény ako radič domény, ktorý spracováva overovanie, vytvorí sa denník podobný nasledujúcemu:
|
Denník udalostí |
Microsoft-Windows-NTLM/Prevádzkové |
|
Identifikačné číslo udalosti |
4030 (informácie), 4031 (upozornenie) |
|
Zdroj udalosti |
Security-Netlogon |
|
Text udalosti |
Dc <dc názov> spracoval preposlaný NTLM žiadosť o overenie pochádzajúce z tejto domény. Informácie o klientovi: Názov klienta: <meno používateľa> Doména klienta: <domain> Klientsky počítač: pracovná stanica klienta <> Informácie o serveri: Názov servera: <názov servera> Doména servera: <Server Domain> Preposlané od: Typ zabezpečeného kanála: <informácie o zabezpečenom kanáli Netlogon> Farside Name: <Cross-Domain DC Machine Name > Farside Domain: <Cross-Domain Domain Name> Farside IP: <cross-Domain DC IP> Zabezpečenie NTLM: Rokované príznaky: <príznaky> Verzia NTLM: <NTLMv2 / NTLMv1> Stav kľúča relácie: < prítomný/chýbajúci> Väzba kanála: < podporované/Nepodporované> Väzba služby: <hlavný názov služby (SPN)> Stav mikrofónu: < chránený/nezabezpečený> AvFlags: <NTLM Flags> Reťazec AvFlags: <reťazec príznaku NTLM> Stav: <kód stavu> Ďalšie informácie nájdete v téme aka.ms/ntlmlogandblock |
Vzťah medzi novými a existujúcimi udalosťami NTLM
Nové udalosti NTLM sú vylepšením existujúcich denníkov NTLM, ako je napríklad zabezpečenie siete: Obmedziť overovanie NTLM auditu NTLM v tejto doméne. Rozšírené zmeny auditovania NTLM nemajú vplyv na aktuálne denníky NTLM. ak sú aktuálne denníky auditovania NTLM povolené, budú naďalej zaznamenávané.
Informácie o nasadení
V súlade s uvádzaním funkcií kontrolovaných spoločnosťou Microsoft (CFR) sa zmeny najprv postupne zavádzajú do počítačov Windows 11 verzie 24H2, po ktorých budú nasledovať neskôr počítače Windows Server 2025 vrátane radičov domény.
Postupné zavádzanie distribuuje aktualizáciu vydania po určitú dobu, nie všetky naraz. Znamená to, že používatelia dostávajú aktualizácie v rôznom čase a nemusia byť okamžite k dispozícii pre všetkých používateľov.
