瀏覽域控制器上的系統日誌時,看到警告:
Microsoft Windows Server 偵測到用戶端與此伺服器之間目前正在使用 NTLM 驗證。用戶端第一次使用 NTLM 向伺服器驗證時,伺服器每次開機時都會發生一次此事件。
NTLM 是較弱的驗證機制。請檢查:
哪些應用程式正在使用 NTLM 驗證?
是否有設定問題,導致無法使用較強的驗證 (例如 Kerberos 驗證)?
如果必須支援 NTLM,是否已設定「擴充保護」?您可以在 http://go.microsoft.com/fwlink/?LinkId=225699 找到如何完成這些檢查的詳細資訊。
以下內容來自:https://nathanlevandowski.wordpress.com/2017/05/28/event-id-6038-auditing-ntlm-usage/
如何檢測哪些應用程序在環境中使用不安全的協議。
默認情況下,Windows服務器不報告NTLM請求來自哪裏,因此需要啓用審計。
啓用DC NTLM審覈組策略
首先在您的域中創建一個新的組策略對象。此策略應通過OU或安全篩選鏈接到您的域控制器。
這些策略設置將報告正在使用NTLM而不會阻塞任何內容:
計算機配置 - >策略 - > Windows設置 - >安全設置 - >安全選項 - >網絡安全:在此域中限制NTLM:審覈NTLM身份驗證。策略設置:審計全部
計算機配置 - >策略 - > Windows設置 - >安全設置 - >安全選項 - >網絡安全:限制NTLM:審覈傳入NTLM流量。策略設置:爲所有帳戶啓用審計
計算機配置 - >策略 - > Windows設置 - >安全設置 - >安全選項 - >網絡安全:限制NTLM:傳輸到遠程服務器的NTLM流量。政策設置:全部審覈
啓用這些策略後,事件ID 8001,8002,8003和8004將記錄在應用程序和服務日誌 - > Microsoft-> Windows-> NTLM-> Operational下的事件查看器中。
以下是事件ID 8004的示例:
域控制器阻止審覈:審覈對此域控制器的NTLM認證。
安全通道名稱:SERVERNAME01
用戶名:SERVERNAME01 $
域名:DOMAIN
工作站名稱:SERVERNAME01
安全通道類型:2
如果將此域中的安全策略Network Security:Restrict NTLM:NTLM身份驗證設置爲任何拒絕選項,則將在域DOMAIN中審覈NTLM身份驗證請求。
如果要在域DOMAIN中允許NTLM身份驗證請求,請將安全策略Network Security:將此域中的NTLM:NTLM身份驗證設置爲禁用。
如果要允許NTLM身份驗證請求訪問域DOMAIN中的特定服務器,請將安全策略Network Security:將此域中的NTLM:NTLM身份驗證限制爲拒絕域服務器或拒絕域帳戶訪問域服務器,然後設置安全策略網絡安全:限制NTLM:在此域中添加服務器例外以定義允許客戶端使用NTLM身份驗證的域DOMAIN中的服務器列表。
由此你可能能夠追蹤哪些應用程序使用不安全的協議。您可能需要將策略鏈接到發出請求的服務器,以獲取有關該服務器上哪個進程發出請求的附加信息。
在Azure OMS中收集NTLM操作日誌
以下是如何在Azure操作管理套件(OMS)中啓用收集NTLM操作日誌的方法
首先登錄Azure Portal,轉到Log Analytics,然後單擊鏈接以訪問OMS Portal。
點擊設置 - >數據 - > Windows事件日誌
在搜索欄中輸入 Microsoft-Windows-NTLM / Operational, 單擊選中它,然後按+添加它。
數據收集完畢後,您可以使用以下日誌搜索查詢來查找連接的數據源中的事件:
事件日誌=” Microsoft的Windows的NTLM /運營”