Windows Server ベースのドメイン コントローラーでの NTLMv1 の使用の監査
この記事では、Microsoft Windows Server ベースのドメイン コントローラーで NT LAN Manager (NTLM) バージョン 1 を使用しているアプリケーションをテストする手順について説明します。
適用対象: Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 4090105
概要
警告
レジストリ エディタや他の方法を使用してレジストリを変更する際、適切に変更しないと重大な問題を引き起こす可能性があります。 場合によっては、オペレーティング システムの再インストールが必要になります。 マイクロソフトは、このような問題の解決に関して、一切責任を負わないものとします。 レジストリの変更はユーザー自身の責任において行ってください。
NTLMv2 のみを使用するようにコンピューターを設定する前に、このテストを行うことができます。 NTLMv2 のみを使用するようにコンピューターを構成するには、ドメイン コントローラーのキーの下で HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
LMCompatibilityLevel を 5 に設定します。
NTLM 監査
NTLMv1 を使用するアプリケーションを見つけるには、ドメイン コントローラーでログオン成功監査を有効にし、NTLM のバージョンに関する情報を含む成功監査イベント 4624 を探します。
次のようなイベント ログが表示されます。
Sample Event ID: 4624
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xa2226a
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: Workstation1
Source Network Address:\<ip address>
Source Port: 49194
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
詳細
イベント ログのこのログオンでは、NTLMv1 セッション セキュリティは実際には使用されません。 キー マテリアルが存在しないため、実際にはセッション セキュリティはありません。
NTLM 監査のロジックは、ログオン セッションで NTLMv2 キー マテリアルが見つかると、NTLMv2 レベルの認証をログに記録することです。 匿名セッションを含む他のすべてのケースで NTLMv1 をログに記録します。 そのため、一般的な推奨事項は、イベントが ANONYMOUS LOGON のためにログに記録されるときに、セキュリティ プロトコルの使用状況情報のイベントを無視することです。
匿名ログオン セッションの一般的なソースは次のとおりです。
コンピューター ブラウザー サービス: Windows 2000 以前のバージョンの Windows からのレガシ サービスです。 このサービスは、ネットワーク上のコンピューターとドメインの一覧を提供します。 サービスはバックグラウンドで実行されます。 ただし、現在、このデータは使用されなくなりました。 エンタープライズ全体でこのサービスを無効にすることをお勧めします。
SID-Name マッピング: 匿名セッションを使用できます。 「ネットワーク アクセス: 匿名 SID/名前変換を許可する」を参照してください。 この機能には認証を必要とすることをお勧めします。
認証されないクライアント アプリケーション: アプリケーション サーバーは、匿名としてログオン セッションを作成する可能性があります。 これは、NTLM 認証でユーザー名とパスワードに渡される空の文字列がある場合にも実行されます。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示