Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article présente les étapes à suivre pour tester toute application qui utilise NT LAN Manager (NTLM) version 1 sur un contrôleur de domaine Basé sur Microsoft Windows Server.
Numéro de base de connaissances d’origine : 4090105
Résumé
Avertissement
De graves problèmes peuvent se produire si vous vous trompez en modifiant le Registre à l’aide de l’Éditeur du Registre ou toute autre méthode. Vous risquez même de devoir réinstaller le système d’exploitation. Microsoft ne peut pas garantir que ces problèmes peuvent être résolus. Vous assumez l’ensemble des risques liés à la modification du Registre.
Vous pouvez effectuer ce test avant de définir les ordinateurs pour qu’ils utilisent uniquement NTLMv2. Pour configurer l’ordinateur pour qu’il utilise uniquement NTLMv2, définissez LMCompatibilityLevel sur 5 sous la HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa clé du contrôleur de domaine.
Audit NTLM
Pour rechercher des applications qui utilisent NTLMv1, activez l’audit de réussite d’ouverture de session sur le contrôleur de domaine, puis recherchez l’événement d’audit success 4624, qui contient des informations sur la version de NTLM.
Vous recevrez les journaux d’événements qui ressemblent aux suivants :
Sample Event ID: 4624
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xa2226a
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: Workstation1
Source Network Address:\<ip address>
Source Port: 49194
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
Plus d’informations
Cette ouverture de session dans le journal des événements n’utilise pas vraiment la sécurité de session NTLMv1. Il n’existe en fait aucune sécurité de session, car aucune ressource de clé n’existe.
La logique de l’audit NTLM est qu’elle journalise l’authentification au niveau NTLMv2 lorsqu’elle trouve le matériel de clé NTLMv2 sur la session d’ouverture de session. Il journalise NTLMv1 dans tous les autres cas, qui incluent des sessions anonymes. Par conséquent, notre recommandation générale est d’ignorer l’événement pour les informations d’utilisation du protocole de sécurité lorsque l’événement est enregistré pour LE LOGON ANONYME.
Les sources courantes des sessions d’ouverture de session anonyme sont les suivantes :
Service Computer Browser : il s’agit d’un service hérité de Windows 2000 et des versions antérieures de Windows. Le service fournit des listes d’ordinateurs et de domaines sur le réseau. Le service s’exécute en arrière-plan. Toutefois, aujourd’hui, ces données ne sont plus utilisées. Nous vous recommandons de désactiver ce service dans l’entreprise.
Mappage SID-Name : il peut utiliser des sessions anonymes. Consultez l’accès réseau : Autoriser la traduction de SID/Nom anonyme. Nous vous recommandons d’exiger l’authentification pour cette fonctionnalité.
Applications clientes qui ne s’authentifient pas : le serveur d’applications peut toujours créer une session d’ouverture de session comme anonyme. Cela s’effectue également lorsqu’il existe des chaînes vides passées pour le nom d’utilisateur et le mot de passe dans l’authentification NTLM.