Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen
Hier werden bewährte Methoden, Speicherort, Werte sowie Verwaltungs- und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen beschrieben.
Referenzen
Mit der Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen können Sie die NTLM-Authentifizierung für den Domänencontroller in der Domäne überwachen.
Wenn Sie diese Richtlinieneinstellung für den Domänencontroller aktivieren, wird nur Authentifizierungsdatenverkehr zu diesem Domänencontroller protokolliert.
Wenn Sie diese Überwachungsrichtlinie aktivieren, funktioniert sie genau wie die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne, blockiert aber keinen Datenverkehr. Daher können Sie sie zum Analysieren des Authentifizierungsdatenverkehrs zu Ihren Domänencontrollern verwenden. Wenn Sie diesen Datenverkehr blockieren möchten, können Sie die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne aktivieren und Für Domänenkonten an Domänenserver verweigern, Für Domänenserver verweigern oder Für Domänenkonten verweigern auswählen.
Mögliche Werte
Deaktivieren
Der Domänencontroller, für den diese Richtlinie festgelegt wird, protokolliert keine Ereignisse für eingehenden NTLM-Datenverkehr.
Für Domänenkonten an Domänenserver aktivieren
Der Domänencontroller, für den diese Richtlinie festgelegt ist, protokolliert Ereignisse für NTLM-Authentifizierungsanmeldeversuche für Konten in der Domäne bei Domänenservern, wenn die NTLM-Authentifizierung verweigert werden würde, da für die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne die Option Für Domänenkonten an Domänenserver verweigern aktiviert ist.
Für Domänenkonten aktivieren
Der Domänencontroller protokolliert Ereignisse für NTLM-Authentifizierungsanmeldeversuche, die Domänenkonten verwenden, wenn die NTLM-Authentifizierung verweigert werden würde, da für die Richtlinieneinstellung Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne die Option Für Domänenkonten verweigern aktiviert ist.
Nicht definiert
Diese Option ist identisch mit Deaktivieren. Ist sie aktiviert, wird der NTLM-Datenverkehr nicht überwacht.
Bewährte Methoden
Abhängig von Ihrer Umgebung und der Testdauer sollte die Größe des Betriebsereignisprotokolls regelmäßig überprüft werden.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nicht definiert |
Effektive Standardeinstellungen für Domänencontroller |
Nicht definiert |
Effektive Standardeinstellungen für Mitgliedsserver |
Nicht definiert |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verschiedenen verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Änderungen an dieser Richtlinie werden ohne einen Neustart wirksam, wenn sie lokal gespeichert oder über Gruppenrichtlinien verteilt werden.
Gruppenrichtlinie
Das Festlegen und Bereitstellen dieser Richtlinie mit der Gruppenrichtlinie hat Vorrang vor der Einstellung auf dem lokalen Gerät. Wenn für die Gruppenrichtlinie die Option Nicht konfiguriert festgelegt ist, gelten die lokalen Einstellungen.
Überwachung
Prüfen Sie im Betriebsereignisprotokoll, ob diese Richtlinie wie gewünscht funktioniert. Überwachungs- und Blockierungsereignisse werden auf dem Computer im Betriebsereignisprotokoll unter Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM erfasst. Der Einsatz eines Erfassungssystems für Überwachungsereignisse verbessert die Effizienz beim Sammeln von Ereignissen.
Es gibt keine Richtlinien für Sicherheitsüberwachungsereignisse, die zum Anzeigen der Ausgabe dieser Richtlinie konfiguriert werden können.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
NTLM- und NTLMv2-Authentifizierung ist anfällig für eine Vielzahl böswilliger Angriffe, u. a. SMB Relay-, Man-in-the-Middle- und Brute-Force-Angriffe. Wenn Sie die NTLM-Authentifizierung in Ihrer Umgebung immer weniger und schließlich gar nicht mehr einsetzen, wird das Windows-Betriebssystem dazu veranlasst, sicherere Protokolle wie etwa Kerberos Version 5 oder andere Authentifizierungsmechanismen wie Smartcards zu verwenden.
Sicherheitsrisiko
Durch die Aktivierung dieser Richtlinieneinstellung können Sie über die Protokollierung ermitteln, welche Geräte in Ihrem Netzwerk oder Ihrer Domäne NTLM-Datenverkehr behandeln. Die Identität dieser Geräte kann in böswilliger Absicht verwendet werden, wenn der NTLM-Authentifizierungsdatenverkehr nicht mehr sicher ist. Die Einstellung minimiert oder eliminiert das Sicherheitsrisiko nicht, da sie nur der Überwachung dient.
Gegenmaßnahme
Beschränken Sie den Zugriff auf die Protokolldateien, wenn diese Richtlinieneinstellung in Ihrer Produktionsumgebung aktiviert ist.
Mögliche Auswirkung
Wenn Sie diese Richtlinieneinstellung nicht aktivieren oder konfigurieren, werden keine Informationen zum NTLM-Authentifizierungsdatenverkehr protokolliert. Bei Aktivierung der Richtlinieneinstellung werden nur Überwachungsfunktionen ausgeführt, aber keine Sicherheitsverbesserungen implementiert.