Datum izvirne objave: 11. julij 2025
ID zbirke znanja: 5064479
V tem članku:
Uvod
V tem članku je pregled prihajajočih sprememb v funkciji nadzora NT LAN Manager (NTLM) v sistemu Windows 11, različica 24H2 in Windows Server 2025. Te izboljšave so namenjene izboljšanju vidljivosti v dejavnosti preverjanja pristnosti NTLM, kar skrbnikom omogoča, da določijo identiteto uporabnikov, razlog za uporabo NTLM in določena mesta, kjer je NTLM zaposlen v okolju. Izboljšani nadzor podpira izboljšano nadzorovanje varnosti in identifikacijo starejših odvisnosti preverjanja pristnosti.
Namen sprememb nadzora NTLM
Preverjanje pristnosti NTLM je še vedno prisotno v različnih scenarijih podjetja, pogosto zaradi starejših aplikacij in konfiguracij. Z obvestilom o zastarelih in prihodnjih onemogočenih protokolih NTLM (glejte spletni dnevnik za Windows IT – razvoj preverjanja pristnosti sistema Windows) so posodobljene funkcije nadzora namenjene pomoči skrbnikom pri prepoznavanju uporabe NTLM, razumevanju vzorcev uporabe in odkrivanju morebitnih varnostnih tveganj, vključno z uporabo nt lan managerja različice 1 (NTLMv1).
Dnevniki nadzora NTLM
Windows 11 različica 24H2 in Windows Server 2025 uvajata nove zmogljivosti pisanja dnevnika nadzora NTLM za odjemalce, strežnike in krmilnike domene. Vsaka komponenta ustvari dnevnike, ki zagotavljajo podrobne informacije o dogodkih preverjanja pristnosti NTLM. Te dnevnike lahko najdete v Pregledovalnik dogodkov v razdelku Dnevniki aplikacij in storitev >Microsoft > Windows > NTLM > Delovanje.
V primerjavi z obstoječimi dnevniki nadzora NTLM lahko novi izboljšani podatki nadzora skrbnikom omogočajo, da odgovorijo na vprašanja »Kdo«, »Zakaj« in »Kje«:
-
Kdo uporablja NTLM, vključno z računom in procesom v računalniku.
-
Zakaj je bilo izbrano preverjanje pristnosti NTLM namesto protokolov za sodobno preverjanje pristnosti, kot je Kerberos.
-
Kjer se izvaja preverjanje pristnosti NTLM, vključno z imenom računalnika in naslovom IP računalnika.
Izboljšani nadzor NTLM zagotavlja tudi informacije o uporabi NTLMv1 za odjemalce in strežnike ter podatke o uporabi storitve NTLMv1, ki jih zabeleži krmilnik domene.
pravilnik skupine upravljanje
Nove funkcije nadzora NTLM je mogoče konfigurirati s posodobljenimi pravilnik skupine nastavitvami. Skrbniki lahko s temi pravilniki določijo, kateri dogodki preverjanja pristnosti NTLM se nadzirajo, in upravljajo delovanje nadzora v različnih odjemalcih, strežnikih in krmilnikih domene, kot je primerno za njihovo okolje.
Dogodki so privzeto omogočeni.
-
Za zapisovanje dogodkov v dnevnik odjemalca in strežnika so dogodki nadzorovani s pravilnikom »NTLM Enhanced Logging« v razdelku Skrbniške predloge > System > NTLM.
-
Pri pisanju dnevnika v krmilniku domene za celotno domeno se dogodki nadzirajo s pravilnikom »Dnevnik izboljšanih dnevnikov NTLM v domeni« v razdelku Skrbniške predloge > System > Netlogon.
Ravni nadzora
Vsak dnevnik nadzora NTLM je razdeljen na dva različna ID-je dogodkov z istimi informacijami, ki se razlikujejo le po ravni dogodka:
-
Informacije: označuje standardne dogodke NTLM, na primer preverjanje pristnosti NT LAN Manager različica 2 (NTLMv2), kjer ni zaznano nobeno zmanjšanje varnosti.
-
Opozorilo: označuje zamenjavo z varnostjo NTLM, kot je uporaba NTLMv1. Ti dogodki označujejo nezaščiteno preverjanje pristnosti. Dogodek je lahko označen kot »Opozorilo« na primer:
-
Uporabo NTLMv1 zazna odjemalec, strežnik ali krmilnik domene.
-
Izboljšana zaščita za preverjanje pristnosti je označena kot ni podprta ali nezaščitena (če želite več informacij, glejte KB5021989: Razširjena zaščita za preverjanje pristnosti).
-
Določene varnostne funkcije NTLM, kot je preverjanje celovitosti sporočil (MIC), niso uporabljene.
-
Dnevniki odjemalcev
Novi dnevniki nadzora snemajo odhodne poskuse preverjanja pristnosti NTLM. V teh dnevnikih so navedene podrobnosti o aplikacijah ali storitvah, ki začenjajo povezave NTLM, skupaj z ustreznimi metapodatki za vsako zahtevo za preverjanje pristnosti.
Odjemalsko pisanje dnevnika ima enolično polje ID /razlog uporabe, ki označuje, zakaj je bilo uporabljeno preverjanje pristnosti NTLM.
|
ID |
Opis |
|
0 |
Neznanih razlogov. |
|
1 |
Program za klicanje je neposredno poklical NTLM. |
|
2 |
Preverjanje pristnosti lokalnega računa. |
|
3 |
REZERVIRANO, trenutno ni v uporabi. |
|
4 |
Preverjanje pristnosti računa v oblaku. |
|
5 |
Manjkalo je ime cilja ali prazno. |
|
6 |
Imena cilja ni bilo mogoče razrešiti s protokolom Kerberos ali drugimi protokoli. |
|
7 |
Ime cilja vsebuje naslov IP. |
|
8 |
Ugotovljeno je bilo, da je bilo ime cilja podvojeno v imeniku Active Directory. |
|
9 |
S krmilnikom domene ni mogoče vzpostaviti nobene vrstice z vidom. |
|
10 |
NTLM je bil pri klicu prek vmesnika za povratno zanko. |
|
11 |
NTLM je bil pri klicu z ničelno sejo. |
|
Dnevnik dogodkov |
Microsoft-Windows-NTLM/Operational |
|
ID dogodka |
4020 (informacije), 4021 (opozorilo) |
|
Vir dogodka |
NTLM |
|
Besedilo dogodka |
Ta računalnik je poskušal preveriti pristnost oddaljenega vira prek protokola NTLM. Informacije o procesu: Ime procesa: <ime> PID postopka: <PID> Informacije o odjemalcu: Uporabniško ime: <uporabniško> Domena: <ime domene> Ime gostitelja: <ime gostitelja> Sign-On Vrsta: <Enojna Sign-On/ Priložene> Informacije o cilju: Ciljni računalnik: <ime> Ciljna domena: <računalnika s> Ciljni vir: <glavno ime storitve (SPN)> Ciljni IP: <ip> Ime ciljnega omrežja: <ime> Uporaba NTLM: ID vzroka: <ID> Razlog: <razlog uporabe> NTLM Security: Negotiated Flags: <Flags> NtLM Version: <NTLMv2 / NTLMv1> Stanje ključa seje: < predstavljanje/manjkajoča> Vezava kanala: < podprto/ni podprto> Povezovanje storitve: <ime storitve (SPN)> Stanje mikrofona: </nezaščitena> AvFlags: <zastava NTLM> Niz AvFlags: <z zastavico NTLM> Če želite več informacij, glejte aka.ms/ntlmlogandblock. |
Strežniški dnevniki
Novi dnevniki nadzora snemajo dohodne poskuse preverjanja pristnosti NTLM. V teh dnevnikih so navedene podobne podrobnosti o preverjanju pristnosti NTLM kot dnevniki odjemalcev, prav tako pa poročajo, ali je bilo preverjanje pristnosti NTLM uspešno ali ne.
|
Dnevnik dogodkov |
Microsoft-Windows-NTLM/Operational |
|
ID dogodka |
4022 (informacije), 4023 (opozorilo) |
|
Vir dogodka |
NTLM |
|
Besedilo dogodka |
Oddaljeni odjemalec uporablja NTLM za preverjanje pristnosti v tej delovni postaji. Informacije o procesu: Ime procesa: <ime> PID postopka: <PID> Informacije o oddaljenem odjemalcu: Uporabniško ime: <uporabniško ime> Domena: <domena odjemalca> Odjemalski računalnik: <ime odjemalskega> IP odjemalca: <ip odjemalca> Ime omrežja odjemalca: <ime omrežja odjemalca> NTLM Security: Negotiated Flags: <Flags> NtLM Version: <NTLMv2 / NTLMv1> Stanje ključa seje: < predstavljanje/manjkajoča> Vezava kanala: < podprto/ni podprto> Povezovanje storitve: <ime storitve (SPN)> Stanje mikrofona: </nezaščitena> AvFlags: <zastava NTLM> Niz AvFlags: <z zastavico NTLM> Stanje: <stanja> Sporočilo o stanju: <status string> Če želite več informacij, glejte aka.ms/ntlmlogandblock |
Dnevniki krmilnika domene
Krmilniki domene lahko izkoristijo prednosti izboljšanega nadzora NTLM, z novimi dnevniki, ki zajamejo tako uspešne kot neuspešne poskuse preverjanja pristnosti NTLM za celotno domeno. Ti dnevniki podpirajo identifikacijo uporabe NTLM v več domenah in skrbnike opozoril na morebitne popravke v varnosti preverjanja pristnosti, kot je preverjanje pristnosti NTLMv1.
Dnevniki krmilnika domene se ustvarijo glede na te scenarije:
Ko račun odjemalca in strežniški računalnik pripadata isti domeni, se ustvari dnevnik, podoben tem:
|
Dnevnik dogodkov |
Microsoft-Windows-NTLM/Operational |
|
ID dogodka |
4032 (informacije), 4033 (opozorilo) |
|
Vir dogodka |
Security-Netlogon |
|
Besedilo dogodka |
Ime krmilnika domene <krmilnika domene> posredovano zahtevo za preverjanje pristnosti NTLM, ki izvira iz te domene. Informacije o odjemalcu: Ime odjemalca: <uporabniškega> Domena odjemalca: <domena> Odjemalski računalnik: <odjemalca> Informacije o strežniku: Ime strežnika: <ime računalnika s> Domena strežnika: <Server Domain> IP strežnika: <Server IP> Strežniški operacijski sistem: <operacijski sistem> NTLM Security: Negotiated Flags: <Flags> NtLM Version: <NTLMv2 / NTLMv1> Stanje ključa seje: < predstavljanje/manjkajoča> Vezava kanala: < podprto/ni podprto> Povezovanje storitve: <ime storitve (SPN)> Stanje mikrofona: </nezaščitena> AvFlags: <zastava NTLM> Niz AvFlags: <z zastavico NTLM> Stanje: <stanja> Sporočilo o stanju: <status string> Če želite več informacij, glejte aka.ms/ntlmlogandblock |
Če račun odjemalca in strežnik pripadata različnim domenam, bo imel krmilnik domene različne dnevnike, odvisno od tega, ali krmilnik domene pripada domeni, kjer se nahaja odjemalec (zaganja preverjanje pristnosti) ali kje se nahaja strežnik (sprejem preverjanja pristnosti):
Če strežnik pripada isti domeni kot krmilnik domene, ki obravnava preverjanje pristnosti, se ustvari dnevnik, podoben »Dnevniku iste domene«.
Če račun odjemalca pripada isti domeni kot krmilnik domene, ki obravnava preverjanje pristnosti, se ustvari dnevnik, podoben tem:
|
Dnevnik dogodkov |
Microsoft-Windows-NTLM/Operational |
|
ID dogodka |
4030 (informacije), 4031 (opozorilo) |
|
Vir dogodka |
Security-Netlogon |
|
Besedilo dogodka |
Ime krmilnika domene <krmilnika domene> posredovano zahtevo za preverjanje pristnosti NTLM, ki izvira iz te domene. Informacije o odjemalcu: Ime odjemalca: <uporabniškega> Domena odjemalca: <domena> Odjemalski računalnik: <odjemalca> Informacije o strežniku: Ime strežnika: <ime računalnika s> Domena strežnika: <Server Domain> Posredovano od: Vrsta varnega kanala: <informacij o varnem kanalu v storitvi Netlogon> Farside Name (ime farside): <ime računalnika DC v več domeni > Farside Domain (domena farside): <domena med domeno> Farside IP: <med domeno DC IP> NTLM Security: Negotiated Flags: <Flags> NtLM Version: <NTLMv2 / NTLMv1> Stanje ključa seje: < predstavljanje/manjkajoča> Vezava kanala: < podprto/ni podprto> Povezovanje storitve: <ime storitve (SPN)> Stanje mikrofona: </nezaščitena> AvFlags: <zastava NTLM> Niz AvFlags: <z zastavico NTLM> Stanje: <stanja> Če želite več informacij, glejte aka.ms/ntlmlogandblock |
Relationship between new and existing NTLM events
Novi dogodki NTLM so izboljšava obstoječih dnevnikov NTLM, kot je varnost omrežja : Omejevanje preverjanja pristnosti NTLM Audit NTLM v tej domeni. Izboljšane spremembe nadzora NTLM ne vplivajo na trenutne dnevnike NTLM; če so omogočeni trenutni dnevniki nadzora NTLM, bodo še naprej zabeleženi.
Informacije o uvajanju
V skladu z Microsoftovo nadzorovano vstavljeno funkcijo (CFR) bodo spremembe najprej postopoma na voljo v računalnikih s sistemom Windows 11, različica 24H2, pozneje pa še v računalnikih s sistemom Windows Server 2025, vključno s krmilniki domene.
Postopno uvajanje porazdelitev posodobitve izdaje v določenem časovnem obdobju in ne vseh hkrati. To pomeni, da uporabniki prejmejo posodobitve ob različnih časih in morda ne bodo takoj na voljo vsem uporabnikom.
