Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen
Hier werden bewährte Methoden, Speicherort, Werte sowie Verwaltungs- und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen beschrieben.
Referenzen
Mit der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen können Sie eingehenden NTLM-Datenverkehr überwachen.
Ist diese Überwachungsrichtlinie in der Gruppenrichtlinie aktiviert, wird sie auf jedem Server erzwungen, auf dem die Gruppenrichtlinie bereitgestellt wird. Die Ereignisse werden im Betriebsereignisprotokoll unter Anwendungs- und Dienstprotokoll\Microsoft\Windows\NTLM aufgezeichnet. Der Einsatz eines Erfassungssystems für Überwachungsereignisse verbessert die Effizienz beim Sammeln von Ereignissen.
Wenn Sie diese Richtlinie auf einem Server aktivieren, wird nur Authentifizierungsdatenverkehr zu diesem Server protokolliert.
Wenn Sie diese Überwachungsrichtlinie aktivieren, funktioniert sie genau wie die Richtlinie Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr, blockiert aber keinen Datenverkehr. Daher können Sie sie zum Analysieren des Authentifizierungsdatenverkehrs in Ihrer Umgebung verwenden. Wenn Sie diesen Datenverkehr blockieren möchten, können Sie die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr aktivieren und die Option Alle Konten verweigern oder Alle Domänenkonten verweigern auswählen.
Mögliche Werte
Deaktivieren
Der Server, auf dem diese Richtlinie festgelegt wird, protokolliert keine Ereignisse für eingehenden NTLM-Datenverkehr.
Überwachung für Domänenkonten aktivieren
Der Server, auf dem diese Richtlinie festgelegt wird, protokolliert Ereignisse für NTLM-Pass-Through-Authentifizierungsanforderungen nur für Konten in der Domäne, die blockiert werden würden, wenn für die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr die Option Alle Domänenkonten verweigern aktiviert wird.
Überwachung für alle Konten aktivieren
Der Server, auf dem diese Richtlinie festgelegt wird, protokolliert Ereignisse für alle NTLM-Authentifizierungsanforderungen, die blockiert werden würden, wenn für die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr die Option Alle Konten verweigern aktiviert wird.
Nicht definiert
Diese Option ist identisch mit Deaktivieren. Ist sie aktiviert, wird der NTLM-Datenverkehr nicht überwacht.
Bewährte Methoden
Abhängig von Ihrer Umgebung und der Testdauer sollte die Protokollgröße regelmäßig überprüft werden.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Gruppenrichtlinie
Das Festlegen und Bereitstellen dieser Richtlinie mit der Gruppenrichtlinie hat Vorrang vor der Einstellung auf dem lokalen Gerät. Wenn für die Gruppenrichtlinie die Option Nicht konfiguriert festgelegt ist, gelten die lokalen Einstellungen.
Überwachung
Prüfen Sie im Betriebsereignisprotokoll, ob diese Richtlinie wie gewünscht funktioniert. Überwachungs- und Blockierungsereignisse werden auf dem Computer im Betriebsereignisprotokoll unter Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM erfasst. Der Einsatz eines Erfassungssystems für Überwachungsereignisse verbessert die Effizienz beim Sammeln von Ereignissen.
Es gibt keine Richtlinien für Sicherheitsüberwachungsereignisse, die zum Anzeigen der Ausgabe dieser Richtlinie konfiguriert werden können.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
NTLM- und NTLMv2-Authentifizierung ist anfällig für eine Vielzahl böswilliger Angriffe, u. a. SMB Relay-, Man-in-the-Middle- und Brute-Force-Angriffe. Wenn Sie die NTLM-Authentifizierung in Ihrer Umgebung immer weniger und schließlich gar nicht mehr einsetzen, wird das Windows-Betriebssystem dazu veranlasst, sicherere Protokolle wie etwa Kerberos Version 5 oder andere Authentifizierungsmechanismen wie Smartcards zu verwenden.
Sicherheitsrisiko
Durch die Aktivierung dieser Richtlinieneinstellung können Sie über die Protokollierung ermitteln, welche Server und Clientcomputer in Ihrem Netzwerk oder Ihrer Domäne NTLM-Datenverkehr behandeln. Die Identität dieser Geräte kann in böswilliger Absicht verwendet werden, wenn der NTLM-Authentifizierungsdatenverkehr nicht mehr sicher ist. Die Einstellung minimiert oder eliminiert das Sicherheitsrisiko nicht, da sie nur der Überwachung dient.
Gegenmaßnahme
Beschränken Sie den Zugriff auf die Protokolldateien, wenn diese Richtlinieneinstellung in Ihrer Produktionsumgebung aktiviert ist.
Mögliche Auswirkung
Wenn Sie diese Richtlinieneinstellung nicht aktivieren oder konfigurieren, werden keine Informationen zum NTLM-Authentifizierungsdatenverkehr protokolliert. Bei Aktivierung der Richtlinieneinstellung werden nur Überwachungsfunktionen ausgeführt, aber keine Sicherheitsverbesserungen implementiert.