網路安全性: 限制 NTLM: 稽核連入 NTLM 流量
適用對象
- Windows 10
說明網路安全性的最佳作法、位置、值、管理層面和安全性考慮 :限制 NTLM:稽核傳入的 NTLM 流量安全性原則設定。
參考
網路 安全性:限制 NTLM:稽核傳入的 NTLM 流量策略設定可讓您稽核傳入的 NTLM 流量。
當此稽核政策在群組原則中啟用時,它會在發佈該群組原則的任何伺服器上強制執行。 事件會記錄在應用程式與服務記錄**\\Microsoft\Windows\NTLM 中的操作事件記錄中**。 使用稽核事件集合系統可協助收集事件,以更有效率地進行分析。
當您在伺服器上啟用此策略時,只會記錄該伺服器的驗證流量。
啟用此稽核策略時,其作用方式與網路安全性: 限制 NTLM:傳入 NTLM 流量政策相同,但實際上不會封鎖任何流量。 因此,您可以有效地使用它來瞭解您環境的驗證流量,當您準備好封鎖該流量時,您可以啟用網路安全性:限制 NTLM:內建 NTLM 流量策略設定,然後選取拒絕所有帳戶或**** 拒絕所有網域帳戶。
可能值
停用
設定此策略的伺服器不會記錄傳入 NTLM 流量的事件。
啟用網域帳戶的稽核
設定此策略的伺服器只會針對網域中的客戶紀錄 NTLM 傳遞驗證要求的事件,當網路安全性:限制 NTLM:傳入的 NTLM流量策略設定設為拒絕所有網域帳戶時,會封鎖。 ****
啟用所有帳戶的稽核
設定此策略的伺服器會記錄所有 NTLM 驗證要求的事件,當網路安全性:限制 NTLM:傳入 NTLM流量策略設定設為拒絕所有帳戶時,會封鎖這些事件。
未定義
這和 Disable 相同, 因此不會稽核 NTLM 流量。
最佳做法
根據您的環境和測試持續時間,定期監控記錄大小。
位置
電腦群組Windows 設定\安全性設定\Local Policies\Security 選項
預設值
| 伺服器類型或 GPO | 預設值 |
|---|---|
| 預設網域策略 | 未定義 |
| 預設網域控制站策略 | 未定義 |
| 獨立伺服器預設設定 | 未定義 |
| 網域控制站的有效預設設定 | 未定義 |
| 成員伺服器有效預設設定 | 未定義 |
| 用戶端電腦的有效預設設定 | 未定義 |
群組原則管理
本節說明可協助您管理此政策的不同功能和工具。
重新啟動需求
無。 此策略的變更在儲存至本地或透過群組原則發佈時,不會重新開機而生效。
群組原則
使用群組原則設定及部署此策略優先于本地裝置上的設定。 如果群組原則設定為未 設定, 將會套用本地設定。
審計
查看操作事件記錄,查看此策略是否如預期運作。 稽核和封鎖事件會記錄在此電腦上位於應用程式與服務記錄**\\Microsoft\Windows\NTLM 的操作事件記錄中**。 使用稽核事件集合系統可協助收集事件,以更有效率地進行分析。
沒有任何安全性稽核事件策略可以配置為查看此策略的輸出。
安全性考量
本節說明攻擊者如何惡意探索功能或其設定、如何實作因應對策,以及實作因應對策可能的負面後果。
NTLM 和 NTLMv2 驗證容易受到各種惡意攻擊,包括 SMB 轉場、中層攻擊和暴力攻擊。 減少和消除您環境中的 NTLM 驗證,會強制 Windows 作業系統使用更安全的通訊協定,例如 Kerberos 版本 5 通訊協定,或不同的驗證機制 ,例如智慧卡。
弱點
啟用此策略設定會透過記錄網路或網域內處理 NTLM 流量的伺服器和用戶端電腦來顯示。 如果 NTLM 驗證流量遭到入侵,這些裝置身分識別可以惡意方式使用。 此策略設定不會防止或減輕任何弱點,因為它僅供稽核之用。
因應對策
在生產環境中啟用此策略設定時,限制對記錄檔案的存取。
可能的影響
如果您沒有啟用或設定此策略設定,將不會記錄 NTLM 驗證流量資訊。 如果您啟用此策略設定,則只會發生稽核函數;不會執行安全性增強功能。
相關主題
意見反應
提交並檢視相關的意見反應