Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se presentan los pasos para probar cualquier aplicación que use NT LAN Manager (NTLM) versión 1 en un controlador de dominio basado en Microsoft Windows Server.
Número de KB original: 4090105
Resumen
Advertencia
Es posible que se produzcan problemas graves si modifica el Registro de forma incorrecta mediante el Editor del Registro u otro método. Estos problemas pueden requerir la reinstalación del sistema operativo. Microsoft no puede garantizar que estos problemas se puedan solucionar. Modifique el Registro bajo su propia responsabilidad.
Puede realizar esta prueba antes de establecer equipos para que solo usen NTLMv2. Para configurar el equipo para que solo use NTLMv2, establezca LMCompatibilityLevel en 5 bajo la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa clave del controlador de dominio.
Auditoría NTLM
Para buscar aplicaciones que usan NTLMv1, habilite La auditoría correcta de inicio de sesión en el controlador de dominio y, a continuación, busque Success auditing Event 4624, que contiene información sobre la versión de NTLM.
Recibirá registros de eventos similares a los siguientes:
Sample Event ID: 4624
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xa2226a
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: Workstation1
Source Network Address:\<ip address>
Source Port: 49194
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
Más información
Este inicio de sesión en el registro de eventos no usa realmente la seguridad de sesión NTLMv1. En realidad, no hay seguridad de sesión, porque no existe ningún material clave.
La lógica de la auditoría NTLM es que registrará la autenticación de nivel NTLMv2 cuando encuentre material de clave NTLMv2 en la sesión de inicio de sesión. Registra NTLMv1 en todos los demás casos, que incluyen sesiones anónimas. Por lo tanto, nuestra recomendación general es omitir el evento de información de uso del protocolo de seguridad cuando se registra el evento para EL INICIO DE SESIÓN ANÓNIMO.
Los orígenes comunes de sesiones de inicio de sesión anónimos son:
Servicio de explorador de equipos: es un servicio heredado de Windows 2000 y versiones anteriores de Windows. El servicio proporciona listas de equipos y dominios en la red. El servicio se ejecuta en segundo plano. Sin embargo, en la actualidad estos datos ya no se usan. Se recomienda deshabilitar este servicio en toda la empresa.
Asignación de SID-Name: puede usar sesiones anónimas. Consulte Acceso a la red: Permitir traducción anónima de SID/Nombre. Se recomienda requerir autenticación para esta funcionalidad.
Aplicaciones cliente que no se autentican: el servidor de aplicaciones todavía puede crear una sesión de inicio de sesión como anónima. También se hace cuando se pasan cadenas vacías para el nombre de usuario y la contraseña en la autenticación NTLM.