Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Schritte zum Testen einer Anwendung vorgestellt, die NT LAN Manager (NTLM) Version 1 auf einem Microsoft Windows Server-basierten Domänencontroller verwendet.
Ursprüngliche KB-Nummer: 4090105
Übersicht
Warnung
Schwerwiegende Probleme können auftreten, wenn die Registrierung mit dem Registrierungs-Editor oder einer anderen Methode unsachgemäß bearbeitet wird. Aufgrund dieser Probleme kann eine Neuinstallation des Betriebssystems erforderlich sein. Microsoft kann nicht garantieren, dass diese Probleme behoben werden können. Das Ändern der Registrierung erfolgt auf eigenes Risiko.
Sie können diesen Test durchführen, bevor Sie Computer so festlegen, dass nur NTLMv2 verwendet wird. Um den Computer so zu konfigurieren, dass nur NTLMv2 verwendet wird, legen Sie LMCompatibilityLevel auf 5 unter dem HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Schlüssel auf dem Domänencontroller fest.
NTLM-Überwachung
Um Anwendungen zu finden, die NTLMv1 verwenden, aktivieren Sie die Anmeldeerfolgsüberwachung auf dem Domänencontroller, und suchen Sie dann nach Erfolgsüberwachungsereignis 4624, das Informationen zur NTLM-Version enthält.
Sie erhalten Ereignisprotokolle, die den folgenden ähneln:
Sample Event ID: 4624
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xa2226a
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: Workstation1
Source Network Address:\<ip address>
Source Port: 49194
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
Weitere Informationen
Diese Anmeldung im Ereignisprotokoll verwendet nicht wirklich NTLMv1-Sitzungssicherheit. Es gibt eigentlich keine Sitzungssicherheit, da kein Schlüsselmaterial vorhanden ist.
Die Logik der NTLM-Überwachung besteht darin, dass die NTLMv2-Authentifizierung auf NTLMv2-Ebene protokolliert wird, wenn es NTLMv2-Schlüsselmaterial in der Anmeldesitzung findet. Es protokolliert NTLMv1 in allen anderen Fällen, einschließlich anonymer Sitzungen. Daher empfiehlt es sich, das Ereignis für Informationen zur Verwendung von Sicherheitsprotokollen zu ignorieren, wenn das Ereignis für ANONYMOUS LOGON protokolliert wird.
Häufige Quellen von anonymen Anmeldesitzungen sind:
Computerbrowserdienst: Es ist ein älteren Dienst von Windows 2000 und früheren Versionen von Windows. Der Dienst stellt Listen von Computern und Domänen im Netzwerk bereit. Der Dienst wird im Hintergrund ausgeführt. Heute werden diese Daten jedoch nicht mehr verwendet. Es wird empfohlen, diesen Dienst im gesamten Unternehmen zu deaktivieren.
SID-Name-Zuordnung: Sie kann anonyme Sitzungen verwenden. Siehe Netzwerkzugriff: Anonyme SID-/Namensübersetzung zulassen. Es wird empfohlen, dass Sie eine Authentifizierung für diese Funktionalität benötigen.
Clientanwendungen, die sich nicht authentifizieren: Der Anwendungsserver erstellt möglicherweise weiterhin eine Anmeldesitzung als anonym. Dies geschieht auch, wenn leere Zeichenfolgen für Benutzernamen und Kennwort in der NTLM-Authentifizierung übergeben werden.