Ngày phát hành ban đầu: Ngày 11 tháng 7 năm 2025
ID KB: 5064479
Trong bài viết này:
Giới thiệu
Bài viết này cung cấp thông tin tổng quan về những thay đổi sắp tới đối với chức năng kiểm tra NT LAN Manager (NTLM) trong Windows 11, phiên bản 24H2 và Windows Server 2025. Những cải tiến này được thiết kế để tăng khả năng hiển thị vào hoạt động xác thực NTLM, cho phép quản trị viên xác định danh tính của người dùng, lý do sử dụng NTLM và các vị trí cụ thể nơi NTLM được triển khai trong môi trường. Kiểm tra nâng cao hỗ trợ cải thiện giám sát bảo mật và xác định các phụ thuộc xác thực kế thừa.
Mục đích của thay đổi kiểm tra NTLM
Xác thực NTLM tiếp tục có mặt trong các kịch bản khác nhau của doanh nghiệp, thường là do các ứng dụng và cấu hình kế thừa. Với thông báo ngừng dùng NTLM và vô hiệu hóa trong tương lai (xem Blog CNTT Windows Sự tiến triển của xác thực Windows) các tính năng kiểm tra cập nhật nhằm hỗ trợ người quản trị trong việc xác định mức sử dụng NTLM, hiểu rõ các mô thức sử dụng và phát hiện các rủi ro bảo mật tiềm ẩn, bao gồm việc sử dụng NT LAN Manager phiên bản 1 (NTLMv1).
Nhật ký kiểm tra NTLM
Windows 11, phiên bản 24H2 và Windows Server 2025 giới thiệu khả năng ghi nhật ký kiểm tra NTLM mới cho máy khách, máy chủ và bộ kiểm soát miền. Mỗi thành phần tạo ra các nhật ký cung cấp thông tin chi tiết về sự kiện xác thực NTLM. Các nhật ký này có thể được tìm thấy Trình xem sự kiện nhật ký trong nhật ký Ứng dụng và Dịch vụ > nhật ký của Microsoft > Windows > NTLM > Hoạt động.
So với nhật ký kiểm tra NTLM hiện có, các thay đổi kiểm tra nâng cao mới cho phép người quản trị trả lời Who, the Why, and the Where:
-
Những người đang sử dụng NTLM, bao gồm cả các tài khoản và quá trình trên máy tính.
-
Tại sao chọn xác thực NTLM, thay vì các giao thức xác thực hiện đại như Kerberos.
-
Trong trường hợp xác thực NTLM diễn ra, bao gồm cả tên máy và IP máy.
Việc kiểm tra NTLM nâng cao cũng cung cấp thông tin về việc sử dụng NTLMv1 cho máy khách và máy chủ, cũng như việc sử dụng NTLMv1 trên toàn bộ miền được ghi nhật ký bởi bộ kiểm soát miền.
chính sách nhóm lý
Các tính năng kiểm tra NTLM mới có thể đặt cấu hình thông qua cài đặt chính sách nhóm nhật. Người quản trị có thể sử dụng các chính sách này để chỉ định sự kiện xác thực NTLM được kiểm tra và để quản lý hành vi kiểm tra trên máy khách, máy chủ và bộ kiểm soát miền phù hợp với môi trường của họ.
Theo mặc định, các sự kiện được bật.
-
Đối với ghi nhật ký máy khách và máy chủ, các sự kiện được kiểm soát thông qua chính sách "NtLM Enhanced Logging" dưới Mẫu Quản trị >hệ thống > NTLM.
-
Đối với đăng nhập toàn miền trên bộ kiểm soát miền, các sự kiện được kiểm soát thông qua chính sách "Nhật ký NTLM toàn miền nâng cao" chính sách dưới Mẫu quản trị >hệ thống > Netlogon.
Mức kiểm toán
Mỗi nhật ký kiểm tra NTLM được chia thành hai ID Sự kiện khác nhau với cùng một thông tin chỉ khác nhau theo mức sự kiện:
-
Thông tin: Chỉ rõ sự kiện NTLM tiêu chuẩn, chẳng hạn như xác thực NT LAN Manager phiên bản 2 (NTLMv2), trong đó không phát hiện sự cố giảm bảo mật.
-
Cảnh báo: Biểu thị sự xuống cấp của bảo mật NTLM, chẳng hạn như việc sử dụng NTLMv1. Những sự kiện này làm nổi bật xác thực không an toàn. Sự kiện có thể được đánh dấu là "Cảnh báo" đối với các trường hợp như sau:
-
Mức sử dụng NTLMv1 được phát hiện bởi máy khách, máy chủ hoặc bộ kiểm soát miền.
-
Bảo vệ Xác thực Nâng cao được đánh dấu là không được hỗ trợ hoặc không an toàn (để biết thêm thông tin, hãy KB5021989: Bảo vệ Xác thực Mở rộng).
-
Một số tính năng bảo mật NTLM nhất định, chẳng hạn như kiểm tra tính toàn vẹn thư (MIC), không được sử dụng.
-
Nhật ký máy khách
Nhật ký kiểm tra mới ghi lại lần thử xác thực NTLM gửi đi. Các nhật ký này cung cấp chi tiết về các ứng dụng hoặc dịch vụ khởi tạo kết nối NTLM, cùng với siêu dữ liệu có liên quan cho từng yêu cầu xác thực.
Ghi nhật ký máy khách có một trường duy nhất, Id Sử dụng/Lý do, điều này nêu bật lý do tại sao xác thực NTLM được sử dụng.
|
ID |
Mô tả |
|
0 |
Không biết Lý do. |
|
1 |
NTLM được gọi trực tiếp bởi ứng dụng gọi điện. |
|
2 |
Xác thực Tài khoản Cục bộ. |
|
3 |
RESERVED, hiện không được sử dụng. |
|
4 |
Xác thực Tài khoản Đám mây. |
|
5 |
Tên mục tiêu bị thiếu hoặc trống. |
|
6 |
Không thể xử lý tên mục tiêu bằng Kerberos hoặc các giao thức khác. |
|
7 |
Tên mục tiêu chứa một địa chỉ IP. |
|
8 |
Tìm thấy tên mục tiêu bị trùng lặp trong Active Directory. |
|
9 |
Không thể thiết lập Line of Sight với Bộ điều khiển Miền. |
|
10 |
NTLM được gọi thông qua một giao diện loopback. |
|
11 |
NTLM được gọi với một phiên null. |
|
Nhật ký Sự kiện |
Microsoft-Windows-NTLM/Vận hành |
|
ID Sự kiện |
4020 (Thông tin), 4021 (Cảnh báo) |
|
Nguồn Sự kiện |
NTLM |
|
Văn bản Sự kiện |
Máy này đã cố gắng xác thực tài nguyên từ xa thông qua NTLM. Thông tin Quy trình: Process Name: <name> Process PID: <PID> Thông tin Máy khách: Tên người dùng: Tên <người dùng> Miền: <tên miền> Hostname: <Host Name> Sign-On: Một <đơn lẻ Sign-On / Cung cấp Creds> Thông tin Mục tiêu: Máy mục tiêu: <tên máy> Tên miền Đích: <Miền Máy> Tài nguyên Đích: <Tên Chính của Dịch vụ (SPN)> TARGET IP: <IP Address> Tên Mạng Đích: <Tên Mạng> Sử dụng NTLM: ID Lý do: ID <sử dụng> Lý do: <sử dụng thiết bị> NTLM Security: Cờ đã Thương lượng: <cờ của> Phiên bản NTLM: <NTLMv2 / NTLMv1> Trạng thái Khóa Phiên: Trình < trình bày / Bị thiếu> Gắn kết kênh: Hỗ < hỗ trợ / Không được hỗ> Gắn kết Dịch vụ: <Tên Chính của Dịch vụ (SPN)> Trạng thái MIC: < được Bảo vệ / Không bảo vệ> AvFlags: <NTLM Flags> AvFlags String: <NTLM Flag String> Để biết thêm thông tin, hãy aka.ms/ntlmlogandblock. |
Nhật ký máy chủ
Nhật ký kiểm tra mới ghi lại lần thử xác thực NTLM đến. Các nhật ký cung cấp các chi tiết tương tự về xác thực NTLM như nhật ký máy khách, cũng như báo cáo liệu xác thực NTLM có thành công hay không.
|
Nhật ký Sự kiện |
Microsoft-Windows-NTLM/Vận hành |
|
ID Sự kiện |
4022 (Thông tin), 4023 (Cảnh báo) |
|
Nguồn Sự kiện |
NTLM |
|
Văn bản Sự kiện |
Một khách hàng từ xa đang sử dụng NTLM để xác thực máy trạm này. Thông tin Quy trình: Process Name: <name> Process PID: <PID> Thông tin Máy khách Từ xa: Tên người dùng: Tên <người dùng máy> Miền: <Miền Máy khách> Máy khách: <tên máy khách của> IP Máy khách: <IP Máy khách> Tên Mạng Máy khách: <Tên Mạng Máy khách> NTLM Security: Cờ đã Thương lượng: <cờ của> Phiên bản NTLM: <NTLMv2 / NTLMv1> Trạng thái Khóa Phiên: Trình < trình bày / Bị thiếu> Gắn kết kênh: Hỗ < hỗ trợ / Không được hỗ> Gắn kết Dịch vụ: <Tên Chính của Dịch vụ (SPN)> Trạng thái MIC: < được Bảo vệ / Không bảo vệ> AvFlags: <NTLM Flags> AvFlags String: <NTLM Flag String> Trạng thái: <Mã Trạng thái> Thông báo Trạng thái: <Chuỗi Trạng> Để biết thêm thông tin, hãy xem aka.ms/ntlmlogandblock |
Nhật ký bộ điều khiển miền
Bộ kiểm soát miền hưởng lợi từ việc kiểm tra NTLM nâng cao, với các bản ghi mới ghi lại cả xác thực NTLM thành công và không thành công cho toàn bộ miền. Các nhật ký này hỗ trợ xác định việc sử dụng NTLM nhiều miền và cảnh báo người quản trị về các mức giảm hiệu suất tiềm ẩn trong bảo mật xác thực, chẳng hạn như xác thực NTLMv1.
Các nhật ký bộ kiểm soát miền khác nhau được tạo tùy thuộc vào các kịch bản sau đây:
Khi cả hai tài khoản khách hàng và máy chủ thuộc về cùng một tên miền, một bản ghi tương tự như sau đây sẽ được tạo ra:
|
Nhật ký Sự kiện |
Microsoft-Windows-NTLM/Vận hành |
|
ID Sự kiện |
4032 (Thông tin), 4033 (Cảnh báo) |
|
Nguồn Sự kiện |
Security-Netlogon |
|
Văn bản Sự kiện |
Dc sẽ <DC Name> xử lý yêu cầu xác thực NTLM chuyển tiếp có nguồn gốc từ miền này. Thông tin Máy khách: Tên Máy khách: Tên <người> Miền Máy khách: <Miền> Máy khách: Máy <máy trạm của> Thông tin Máy chủ: Tên Máy chủ: <Server Machine Name> Tên miền Máy chủ: <Server Domain> IP Máy chủ: <IP máy chủ> HĐH Máy chủ: <Hệ Điều hành Máy> NTLM Security: Cờ đã Thương lượng: <cờ của> Phiên bản NTLM: <NTLMv2 / NTLMv1> Trạng thái Khóa Phiên: Trình < trình bày / Bị thiếu> Gắn kết kênh: Hỗ < hỗ trợ / Không được hỗ> Gắn kết Dịch vụ: <Tên Chính của Dịch vụ (SPN)> Trạng thái MIC: < được Bảo vệ / Không bảo vệ> AvFlags: <NTLM Flags> AvFlags String: <NTLM Flag String> Trạng thái: <Mã Trạng thái> Thông báo Trạng thái: <Chuỗi Trạng> Để biết thêm thông tin, hãy xem aka.ms/ntlmlogandblock |
Nếu tài khoản khách hàng và máy chủ thuộc các miền khác nhau, sau đó bộ kiểm soát miền sẽ có các bản ghi khác nhau tùy thuộc vào nếu bộ kiểm soát miền thuộc về miền nơi khách hàng cư trú (bắt đầu xác thực) hoặc nơi máy chủ cư trú (chấp nhận xác thực):
If the server belongs to the same domain as the domain controller that is handling the authentication, a log similar to the "Same-domain log" is created.
Nếu tài khoản khách hàng thuộc về cùng một tên miền như bộ kiểm soát miền xử lý việc xác thực, một bản ghi tương tự như sau đây được tạo ra:
|
Nhật ký Sự kiện |
Microsoft-Windows-NTLM/Vận hành |
|
ID Sự kiện |
4030 (Thông tin), 4031 (Cảnh báo) |
|
Nguồn Sự kiện |
Security-Netlogon |
|
Văn bản Sự kiện |
Dc sẽ <DC Name> xử lý yêu cầu xác thực NTLM chuyển tiếp có nguồn gốc từ miền này. Thông tin Máy khách: Tên Máy khách: Tên <người> Miền Máy khách: <Miền> Máy khách: Máy <máy trạm của> Thông tin Máy chủ: Tên Máy chủ: <Server Machine Name> Tên miền Máy chủ: <Server Domain> Đã chuyển tiếp Từ: Loại Kênh Bảo mật: <Netlogon Secure Channel Info> Farside Name: <Tên Máy DC Chéo Miền > Farside Domain: <Cross-Domain Name> Farside IP: <IP DC Cross-Domain> NTLM Security: Cờ đã Thương lượng: <cờ của> Phiên bản NTLM: <NTLMv2 / NTLMv1> Trạng thái Khóa Phiên: Trình < trình bày / Bị thiếu> Gắn kết kênh: Hỗ < hỗ trợ / Không được hỗ> Gắn kết Dịch vụ: <Tên Chính của Dịch vụ (SPN)> Trạng thái MIC: < được Bảo vệ / Không bảo vệ> AvFlags: <NTLM Flags> AvFlags String: <NTLM Flag String> Trạng thái: <Mã Trạng thái> Để biết thêm thông tin, hãy xem aka.ms/ntlmlogandblock |
Mối quan hệ giữa các sự kiện NTLM mới và hiện có
Các sự kiện NTLM mới là cải tiến trên nhật ký NTLM hiện có, chẳng hạn như Bảo mật mạng: Hạn chế xác thực NTLM Kiểm tra NTLM trong miền này. Các thay đổi nâng cao kiểm tra NTLM không ảnh hưởng đến nhật ký NTLM hiện tại; nếu ntlm hiện tại kiểm tra nhật ký được kích hoạt, họ sẽ tiếp tục được ghi nhật ký.
Thông tin triển khai
Phù hợp với việc triển khai tính năng được kiểm soát của Microsoft (CFR), các thay đổi đầu tiên sẽ dần triển khai cho các máy Windows 11, phiên bản 24H2, tiếp theo là các máy Windows Server 2025 bao gồm bộ kiểm soát miền.
Bản triển khai dần phân phối bản cập nhật phát hành trong một khoảng thời gian, thay vì tất cả cùng một lúc. Điều này có nghĩa là người dùng nhận được các bản cập nhật vào các thời điểm khác nhau và bản cập nhật có thể không sẵn dùng ngay lập tức cho tất cả người dùng.
