Сетевая безопасность: ограничения NTLM — аудит входящего трафика NTLM
Содержит описание рекомендаций, расположения, значений, аспектов управления и вопросов безопасности для параметра политики безопасности Сетевая безопасность: ограничения NTLM — аудит входящего трафика NTLM.
Справка
Параметр политики Сетевая безопасность: ограничения NTLM — аудит входящего трафика NTLM позволяет проводить аудит входящего трафика NTLM.
Если эта политика аудита включена в групповой политике, она применяется на всех серверах, на которые распространена эта групповая политика. События записываются в операционный журнал событий, находящийся в папке Журнал приложений и служб/Microsoft/Windows/NTLM. Используя систему коллекции событий аудита, можно собирать события для более эффективного анализа.
При включении этой политики на сервере в журнал будет записываться только трафик проверки подлинности на данном сервере.
Если эта политика аудита включена, она действует аналогично политике Сетевая безопасность: ограничения NTLM — входящий трафик NTLM, но фактически она не блокирует трафик. Таким образом, ее можно эффективно использовать, чтобы разобраться в трафике проверки подлинности в вашей среде, а если нужно заблокировать этот трафик, можно включить параметр политики Сетевая безопасность: ограничения NTLM — входящий трафик NTLM и выбрать Запретить все учетные записи или Запретить все учетные записи домена.
Возможные значения
Отключить
Сервер, на котором установлена эта политика, не будет записывать в журнал события для входящего трафика NTLM.
Включить аудит для учетных записей домена
Сервер, на котором установлена эта политика, будет записывать в журнал события для запросов сквозной проверки подлинности NTLM только для учетных записей в домене, которые были бы заблокированы при установке для параметра политики Сетевая безопасность: ограничения NTLM: входящий трафик NTLM значения Запретить все учетные записи домена.
Включить аудит для всех учетных записей
Сервер, на котором установлена эта политика, будет записывать в журнал события для всех запросов проверки подлинности NTLM, которые были бы заблокированы при установке для параметра политики Сетевая безопасность: ограничения NTLM: входящий трафик NTLM значения Запретить все учетные записи.
Не определено
Это значение аналогично значению Отключить, и в результате его установки аудит трафика NTLM не осуществляется.
Рекомендации
В зависимости от среды и длительности тестирования регулярно проверяйте размер журнала.
Расположение
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности
Значения по умолчанию
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
Политика домена по умолчанию |
Не определено |
Политика контроллера домена по умолчанию |
Не определено |
Параметры автономного сервера по умолчанию |
Не определено |
Действующие параметры контроллера домена по умолчанию |
Не определено |
Действующие параметры рядового сервера по умолчанию |
Не определено |
Действующие параметры клиентского компьютера по умолчанию |
Не определено |
Управление политикой
В этом разделе описываются различные компоненты и средства, доступные для управления этой политикой.
Необходимость перезагрузки
Нет. Изменения, вносимые в эту политику, вступают в силу без перезапуска системы после их локального сохранения или распространения через групповую политику.
Групповая политика
Настройка и развертывание этой политики с помощью групповой политики имеет приоритет над параметром на локальном устройстве. Если для групповой политики установлено значение Не настроено, будут применены локальные параметры.
Аудит
Просмотрите операционный журнал событий, чтобы определить, правильно ли работает эта политика. События аудита и блокировки записываются в операционный журнал событий на компьютере, расположенный в папке Журнал приложений и служб/Microsoft/Windows/NTLM. Используя систему коллекции событий аудита, можно собирать события для более эффективного анализа.
Политики событий аудита безопасности нельзя настроить для просмотра вывода из этой политики.
Соображения безопасности
В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.
Проверка подлинности NTLM и NTLMv2 уязвима к различным вредоносным атакам, включая перехват SMB, атаки "злоумышленник в середине" и атаки методом подбора. При уменьшении случаев проверки подлинности с помощью NTLM или их полном устранении из вашей среды операционная система Windows будет использовать более защищенные протоколы, например протокол Kerberos версии 5, или другие механизмы проверки подлинности, например с помощью смарт-карт.
Уязвимость
Включение этого параметра политики посредством ведения журнала указывает, какие серверы и клиентские компьютеры в сети или домене обрабатывают трафик NTLM. Удостоверение этих устройств можно использовать во вредоносных целях, если трафик проверки подлинности NTLM будет скомпрометирован. Этот параметр политики не предотвращает или не уменьшает уязвимость, поскольку служит только для целей аудита.
Меры противодействия
Ограничьте доступ к файлам журнала, если этот параметр политики включен в вашей рабочей среде.
Возможные последствия
Если не включить или не настроить этот параметр политики, сведения трафика проверки пользователя NTLM не будут записываться в журнал. Если включить этот параметр политики, будут выполняться только функции аудита; никакие улучшения безопасности не будут реализованы.