Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описаны действия по тестированию любого приложения, использующее NT LAN Manager (NTLM) версии 1 на контроллере домена на основе Microsoft Windows Server.
Исходный номер базы знаний: 4090105
Итоги
Предупреждение
При неправильном изменении реестра с использованием редактора реестра или другого способа могут случиться серьезные проблемы. Для решения этих проблем может потребоваться переустановка операционной системы. Корпорация Майкрософт не может гарантировать, что эти проблемы удастся решить. Вносите изменения в реестр на ваш страх и риск.
Этот тест можно выполнить перед настройкой компьютеров только для использования NTLMv2. Чтобы настроить компьютер только для использования NTLMv2, задайте для LMCompatibilityLevel значение 5 под ключом HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa контроллера домена.
Аудит NTLM
Чтобы найти приложения, использующие NTLMv1, включите аудит успешного входа на контроллере домена, а затем найдите событие аудита успешного выполнения 4624, содержащее сведения о версии NTLM.
Вы получите журналы событий, похожие на следующие:
Sample Event ID: 4624
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xa2226a
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: Workstation1
Source Network Address:\<ip address>
Source Port: 49194
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
Дополнительная информация
Этот вход в журнал событий не использует безопасность сеанса NTLMv1. На самом деле нет безопасности сеансов, так как никакого ключевого материала не существует.
Логика аудита NTLM заключается в том, что он регистрирует проверку подлинности на уровне NTLMv2 при поиске материала ключа NTLMv2 в сеансе входа. Он регистрирует NTLMv1 во всех других случаях, включая анонимные сеансы. Поэтому наша общая рекомендация заключается в том, чтобы игнорировать событие для сведений об использовании протокола безопасности при регистрации события для АНОНИМНОГО ВХОДА.
Распространенные источники анонимных сеансов входа:
Служба браузера компьютеров: это устаревшая служба windows 2000 и более ранних версий Windows. Служба предоставляет списки компьютеров и доменов в сети. Служба выполняется в фоновом режиме. Однако сегодня эти данные больше не используются. Рекомендуется отключить эту службу на предприятии.
Сопоставление sid-Name: оно может использовать анонимные сеансы. См. сведения о доступе к сети: разрешить анонимный перевод sid/Name. Рекомендуется использовать проверку подлинности для этой функции.
Клиентские приложения, не прошедшие проверку подлинности: сервер приложений по-прежнему может создать сеанс входа в систему как анонимный. Это также делается, когда пустые строки передаются для имени пользователя и пароля в проверке подлинности NTLM.