網路安全性: 限制 NTLM: 稽核連入 NTLM 流量

適用對象

  • Windows 10

說明網路安全性的最佳作法、位置、值、管理層面和安全性考慮 :限制 NTLM:稽核傳入的 NTLM 流量安全性原則設定。

參考

網路 安全性:限制 NTLM:稽核傳入的 NTLM 流量策略設定可讓您稽核傳入的 NTLM 流量。

當此稽核政策在群組原則中啟用時,它會在發佈該群組原則的任何伺服器上強制執行。 事件會記錄在應用程式與服務記錄**\\Microsoft\Windows\NTLM 中的操作事件記錄中**。 使用稽核事件集合系統可協助收集事件,以更有效率地進行分析。

當您在伺服器上啟用此策略時,只會記錄該伺服器的驗證流量。

啟用此稽核策略時,其作用方式與網路安全性: 限制 NTLM:傳入 NTLM 流量政策相同,但實際上不會封鎖任何流量。 因此,您可以有效地使用它來瞭解您環境的驗證流量,當您準備好封鎖該流量時,您可以啟用網路安全性:限制 NTLM:內建 NTLM 流量策略設定,然後選取拒絕所有帳戶或**** 拒絕所有網域帳戶。

可能值

  • 停用

    設定此策略的伺服器不會記錄傳入 NTLM 流量的事件。

  • 啟用網域帳戶的稽核

    設定此策略的伺服器只會針對網域中的客戶紀錄 NTLM 傳遞驗證要求的事件,當網路安全性:限制 NTLM:傳入的 NTLM流量策略設定設為拒絕所有網域帳戶時,會封鎖。 ****

  • 啟用所有帳戶的稽核

    設定此策略的伺服器會記錄所有 NTLM 驗證要求的事件,當網路安全性:限制 NTLM:傳入 NTLM流量策略設定設為拒絕所有帳戶時,會封鎖這些事件。

  • 未定義

    這和 Disable 相同, 因此不會稽核 NTLM 流量。

最佳做法

根據您的環境和測試持續時間,定期監控記錄大小。

位置

電腦群組Windows 設定\安全性設定\Local Policies\Security 選項

預設值

伺服器類型或 GPO 預設值
預設網域策略 未定義
預設網域控制站策略 未定義
獨立伺服器預設設定 未定義
網域控制站的有效預設設定 未定義
成員伺服器有效預設設定 未定義
用戶端電腦的有效預設設定 未定義

群組原則管理

本節說明可協助您管理此政策的不同功能和工具。

重新啟動需求

無。 此策略的變更在儲存至本地或透過群組原則發佈時,不會重新開機而生效。

群組原則

使用群組原則設定及部署此策略優先于本地裝置上的設定。 如果群組原則設定為未 設定, 將會套用本地設定。

審計

查看操作事件記錄,查看此策略是否如預期運作。 稽核和封鎖事件會記錄在此電腦上位於應用程式與服務記錄**\\Microsoft\Windows\NTLM 的操作事件記錄中**。 使用稽核事件集合系統可協助收集事件,以更有效率地進行分析。

沒有任何安全性稽核事件策略可以配置為查看此策略的輸出。

安全性考量

本節說明攻擊者如何惡意探索功能或其設定、如何實作因應對策,以及實作因應對策可能的負面後果。

NTLM 和 NTLMv2 驗證容易受到各種惡意攻擊,包括 SMB 轉場、中層攻擊和暴力攻擊。 減少和消除您環境中的 NTLM 驗證,會強制 Windows 作業系統使用更安全的通訊協定,例如 Kerberos 版本 5 通訊協定,或不同的驗證機制 ,例如智慧卡。

弱點

啟用此策略設定會透過記錄網路或網域內處理 NTLM 流量的伺服器和用戶端電腦來顯示。 如果 NTLM 驗證流量遭到入侵,這些裝置身分識別可以惡意方式使用。 此策略設定不會防止或減輕任何弱點,因為它僅供稽核之用。

因應對策

在生產環境中啟用此策略設定時,限制對記錄檔案的存取。

可能的影響

如果您沒有啟用或設定此策略設定,將不會記錄 NTLM 驗證流量資訊。 如果您啟用此策略設定,則只會發生稽核函數;不會執行安全性增強功能。

相關主題