Originalni datum objavljivanja: 11. jul 2025.

KB ID: 5064479

U ovom članku:

Uvod

Ovaj članak pruža pregled predstojećih promena funkcionalnosti nadzora za NT LAN Manager (NTLM) u verzijama Windows 11, verzija 24H2 Windows Server 2025. Ova poboljšanja su dizajnirana da povećaju vidljivost aktivnosti NTLM potvrde identiteta, što administratorima omogućava da odrede identitet korisnika, racionalnost korišćenja NTLM-a i određene lokacije na kojima je NTLM zaposlen u okruženju. Poboljšano nadgledanje podržava poboljšano bezbednosno nadgledanje i identifikaciju zastarelih zavisnih elemencija potvrde identiteta.

Svrha promena NTLM nadzora

NTLM potvrda identiteta je i dalje prisutna u raznim poslovnim scenarijima, često zbog zastarelih aplikacija i konfiguracija. Sa objavom zastarevanja NTLM-a i buduće onemogućavanja (pogledajte Windows IT blog Evolucija Windows potvrde identiteta) ažurirane funkcije nadzora namenjene su administratorima u identifikovanju NTLM korišćenja, razumevanju obrazaca korišćenja i otkrivanju potencijalnih bezbednosnih rizika, uključujući korišćenje NT LAN Manager verzije 1 (NTLMv1).

Evidencije NTLM nadzora

Windows 11 verzija 24H2 i Windows Server 2025 uvode nove mogućnosti vođenja evidencije NTLM nadzora za klijente, servere i kontrolera domena. Svaka komponenta generiše evidencije koje obezbeđuju detaljne informacije o događajima NTLM potvrde identiteta. Ove evidencije možete pronaći u odeljku Prikazivač događaja u okviru Evidencije aplikacija i usluga >Microsoft > Windows > NTLM > Operativni sistem.

U poređenju sa postojećim evidencijama NTLM nadzora, nove poboljšane promene nadzora omogućavaju administratorima da odgovore na pitanja Ko, Zašto i Gde:

  • Ko koristi NTLM, uključujući nalog i proces na računaru.

  • Zašto je izabrana NTLM potvrda identiteta umesto modernih protokola za potvrdu identiteta kao što je Kerberos.

  • Gde se dešava NTLM potvrda identiteta, uključujući ime računara i IP adresu računara.

Poboljšano NTLM nadzor takođe pruža informacije o NTLMv1 upotrebi za klijente i servere, kao i OTLMv1 nadzoru upotrebe koji evidentira kontroler domena na nivou domena. ​​​​​​​

Smernice grupe upravljanje

Nove funkcije NTLM nadzora mogu se konfigurirati putem ažuriranih Smernice grupe postavki. Administratori mogu da koriste ove smernice da bi naveli koji događaji NTLM potvrde identiteta se nadgledaju i da bi upravljali ponašanjem nadzora na klijentima, serverima i kontrolerima domena po potrebi za okruženje.

Događaji su podrazumevano omogućeni.

  • Za evidentiranje klijenta i servera događaji se kontrolišu putem smernica "NTLM poboljšano evidentiranje" u okviru Administrativni predlošci > Sistemski > NTLM.Smernice za NTLM poboljšano vođenje evidencije

  • Za vođenje evidencije na nivou domena na kontroleru domena, događaji se kontrolišu putem smernice "Evidentiraj poboljšane NTLM evidencije na nivou domena" u okviru administrativni predlošci > System > Netlogon.Evidentiraj poboljšane smernice za NTLM evidencije za širok domen

Nivoi nadzora

Svaka NTLM evidencija nadzora se deli na dva različita ID-a događaja sa istim informacijama koje se razlikuju samo po nivou događaja:

  • Informacije: Ukazuje na standardne NTLM događaje, kao što je NT LAN Manager verzija 2 (NTLMv2) potvrda identiteta, gde nije otkriveno smanjenje bezbednosti.

  • Upozorenje: Ukazuje na smanjenje vrednosti NTLM bezbednosti, kao što je upotreba funkcije NTLMv1. Ovi događaji ističe nesigurnu potvrdu identiteta. Događaj može biti označen kao "Upozorenje" za instance kao što su sledeće:

    • NTLMv1 upotrebu je otkrio klijent, server ili kontroler domena.

    • Poboljšana zaštita za potvrdu identiteta označena je kao da nije podržana ili nebeska (više informacija potražite u članku KB5021989: Proširena zaštita za potvrdu identiteta).

    • Određene NTLM bezbednosne funkcije, kao što je provera integriteta poruke (MIC), ne koriste se.

Evidencije klijenata

Nova evidencija nadzora evidentira odlazne pokušaje NTLM potvrde identiteta. Ove evidencije pružaju detalje o aplikacijama ili uslugama koje pokreću NTLM veze, zajedno sa relevantnim metapodacima za svaki zahtev za potvrdu identiteta.

Evidentiranje klijenta ima jedinstveno polje, ID/razlog upotrebe, koje ističe zašto je korišćena NTLM potvrda identiteta.

ID

Opis

0

Nepoznat razlog.

1

Aplikacija za pozivanje je pozvala NTLM.

2

Potvrda identiteta lokalnog naloga.

3

REZERVISANO, trenutno nije u upotrebi.

4

Potvrda identiteta oblaka naloga.

5

Ciljno ime nedostaje ili je prazno.

6

Kerberos ili drugi protokoli ne mogu razrešiti ciljno ime.

7

Ciljno ime sadrži IP adresu.

8

Otkriveno je da je ciljno ime duplirano u usluzi Active Directory.

9

Nije moguće uspostaviti ni jednu liniju vida pomoću kontrolera domena.

10

NTLM je pozvan putem povratnog interfejsa.

11

Pozvan je NTLM sa sesijom bez vrednosti.

Evidencija događaja

Microsoft-Windows-NTLM/Operational

ID događaja

4020 (informacije), 4021 (upozorenje)

Izvor događaja

NTLM

Tekst događaja

Ovaj računar je pokušao da potvrdi identitet udaljenog resursa putem NTLM-a.

Informacije o procesu:

     Ime procesa: <ime>

     PiD procesa: <PID>

Informacije o klijentu:

     Korisničko ime: <ime>

     Domen: <ime domena>

     Ime hosta: <hosta>

     Sign-On tip: <jedan Sign-On / obezbeđeni kreds>

Ciljne informacije:

     Ciljni računar: <ime računara>

     Ciljni domen: <domen računara>

     Ciljni resurs: <ime glavne usluge (SPN)>

     Ciljna IP adresa: <IP>

     Ime ciljne mreže: <ime mreže>

NTLM upotreba:

     ID razloga: <ID-a>

     Razlog: <razlog korišćenja>

NTLM bezbednost:

     Ojačene zastavice: <zastavice>

     NTLM verzija: <NTLMv2 / NTLMv1>

     Status ključa sesije: < prisutno/nedostaje>

     Povezivanje kanala: < podržano / nije podržano>

     Povezivanje usluge: <ime glavne usluge (SPN)>

     Status mikrofona: < zaštićeno/nezaštićeno>

     AvFlags: <NTLM zastavice>

     AvFlags String: <NTLM Flag String>

Dodatne informacije potražite u članku aka.ms/ntlmlogandblock.

Evidencije servera

Novi nadzor evidentira zapis dolaznih NTLM pokušaja potvrde identiteta. Te evidencije pružaju slične detalje o NTLM potvrdi identiteta kao evidencije klijenta, kao i izveštaj da li je NTLM potvrda identiteta uspela ili ne.

Evidencija događaja

Microsoft-Windows-NTLM/Operational

ID događaja

4022 (informacije), 4023 (upozorenje)

Izvor događaja

NTLM

Tekst događaja

Udaljeni klijent koristi NTLM za potvrdu identiteta na ovoj radnoj lokaciji.

Informacije o procesu:

     Ime procesa: <ime>

     PiD procesa: <PID>

Informacije o udaljenom klijentu:

     Korisničko ime: <klijenta>

     Domen: <domen klijenta>

     Klijentski računar: <ime klijenta računara>

     IP adresa klijenta: <IP>

     Ime mreže klijenta: <ime mreže klijenta>

NTLM bezbednost:

     Ojačene zastavice: <zastavice>

     NTLM verzija: <NTLMv2 / NTLMv1>

     Status ključa sesije: < prisutno/nedostaje>

     Povezivanje kanala: < podržano / nije podržano>

     Povezivanje usluge: <ime glavne usluge (SPN)>

     Status mikrofona: < zaštićeno/nezaštićeno>

     AvFlags: <NTLM zastavice>

     AvFlags String: <NTLM Flag String>

Status: <statusa>

Statusna poruka: <statusne niske>

Dodatne informacije potražite u članku aka.ms/ntlmlogandblock

Evidencije kontrolera domena

Kontrolori domena imaju koristi od poboljšanog NTLM nadzora, sa novim evidencijama koje beleže i uspešne i neuspešne pokušaje NTLM potvrde identiteta za ceo domen. Ove evidencije podržavaju identifikaciju NTLM korišćenja iz više domena i upozoravaju administratore na potencijalne nadogradnje u bezbednosti potvrde identiteta, kao što je NTLMv1 potvrda identiteta.

Evidencije kontrolera domena se kreiraju u zavisnosti od sledećih scenarija:

Kada klijentski nalog i server računar pripadaju istom domenu, kreira se evidencija slična sledećoj:

Evidencija događaja

Microsoft-Windows-NTLM/Operational

ID događaja

4032 (informacije), 4033 (upozorenje)

Izvor događaja

Security-Netlogon

Tekst događaja

DC <ime DC-a> je prosledio zahtev za NTLM potvrdu identiteta koji potiče iz ovog domena.

Informacije o klijentu:

     Ime klijenta: <ime>

     Klijentski domen: <domen>

     Klijentski računar: radna <klijenta>

Informacije o serveru:

     Ime servera: <servera za>

     Domen servera: <servera>

     IP adresa servera: <IP>

     Operativni sistem servera: <servera>

NTLM bezbednost:

     Ojačene zastavice: <zastavice>

     NTLM verzija: <NTLMv2 / NTLMv1>

     Status ključa sesije: < prisutno/nedostaje>

     Povezivanje kanala: < podržano / nije podržano>

     Povezivanje usluge: <ime glavne usluge (SPN)>

     Status mikrofona: < zaštićeno/nezaštićeno>

     AvFlags: <NTLM zastavice>

     AvFlags String: <NTLM Flag String>

Status: <statusa>

Statusna poruka: <statusne niske>

Dodatne informacije potražite u članku aka.ms/ntlmlogandblock

Ako klijentski nalog i server pripadaju različitim domenima, kontroler domena će imati različite evidencije u zavisnosti od toga da li kontroler domena pripada domenu gde se klijent nalazi (pokretanje potvrde identiteta) ili gde se server nalazi (prihvatanje potvrde identiteta):

Ako server pripada istom domenu kao kontroler domena koji rukuje potvrdom identiteta, kreira se evidencija slična "Evidenciji istog domena".

Ako nalog klijenta pripada istom domenu kao kontroler domena koji rukuje potvrdom identiteta, kreira se evidencija slična sledećoj:

Evidencija događaja

Microsoft-Windows-NTLM/Operational

ID događaja

4030 (informacije), 4031 (upozorenje)

Izvor događaja

Security-Netlogon

Tekst događaja

DC <ime DC-a> je prosledio zahtev za NTLM potvrdu identiteta koji potiče iz ovog domena.

Informacije o klijentu:

     Ime klijenta: <ime>

     Klijentski domen: <domen>

     Klijentski računar: radna <klijenta>

Informacije o serveru:

     Ime servera: <servera za>

     Domen servera: <servera>

Prosleđeno iz:

     Secure Channel Type: <Netlogon Secure Channel Info>

     Farside Name: <ime mašine iz više domena >

     Farside domen: <ime domena iz više domena>

     Farside IP: <DC IP>

NTLM bezbednost:

     Ojačene zastavice: <zastavice>

     NTLM verzija: <NTLMv2 / NTLMv1>

     Status ključa sesije: < prisutno/nedostaje>

     Povezivanje kanala: < podržano / nije podržano>

     Povezivanje usluge: <ime glavne usluge (SPN)>

     Status mikrofona: < zaštićeno/nezaštićeno>

     AvFlags: <NTLM zastavice>

     AvFlags String: <NTLM Flag String>

Status: <statusa>

Dodatne informacije potražite u članku aka.ms/ntlmlogandblock

Odnos između novih i postojećih NTLM događaja

Novi NTLM događaji su poboljšanje u postojećim NTLM evidencijama, kao što je bezbednost mreže: Ograniči NTLM potvrdu identiteta nad NTLM nadzorom u ovom domenu. Poboljšane promene NTLM nadzora ne utiču na trenutne NTLM evidencije; ako su trenutne evidencije NTLM nadzora omogućene, one će i dalje biti evidentirane.

Informacije o primeni

U skladu sa objavljivanjem funkcija koje kontroliše Microsoft (CFR), promene će se prvo postepeno objavljivati na Windows 11, verzija 24H2 računarima, a kasnije i Windows Server 2025 računarima, uključujući kontrolere domena.

Postepeno objavljivanje distribuira ispravku izdanja tokom određenog vremenskog perioda, a ne sve odjednom. To znači da korisnici dobijaju ispravke u različitim vremeima i ona možda neće biti odmah dostupna svim korisnicima.

Facebook LinkedIn E-pošta

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost