Wir möchten die NTLM-Authentifizierungsüberwachung aktivieren, um weitere Details zu einigen Clients zu sammeln, die versuchen, sich mit NTLM bei der Domäne/den DCs zu authentifizieren. Insbesondere möchten wir Folgendes aktivieren:
- Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne prüfen
- Netzwerksicherheit: NTLM einschränken: Eingehenden NTLM-Verkehr prüfen
Ich habe die folgenden Artikel dazu gefunden:
https://technet.microsoft.com/en-us/library/jj852254(v=ws.11).aspx
https://support.symantec.com/en_US/article.HOWTO79508.html
Die Artikel scheinen sich ein wenig zu überschneiden und widersprechen sich in Bezug auf die Frage, wo diese Richtlinien anzuwenden sind. Der Technet-Artikel selbst enthält keine Angaben dazu, wo das GPO erstellt/angewendet werden soll.
Meine Frage ist also:
Wo genau muss ich diese Richtlinien aktivieren? Standardmäßige Domänencontrollerrichtlinie? Neue Überwachungsrichtlinie auf Domänenebene angewendet? Neue Überwachungsrichtlinie in der Domänencontroller-Organisationseinheit angewendet?
Antwort1
Sie müssen sowohl die DCs als auch die Mitgliedsserver abdecken. Ich mache separate, da einige der Einstellungen nur für die DCs von Bedeutung sind. Bedenken Sie, dass die DCs nicht nur die Authentifizierungen verarbeiten, sondern auch Clients oder Server für NTLM sein können, beispielsweise über SMB.
Den Abschnitt „Konfigurationen“ finden Sie hier: https://technet.microsoft.com/en-us/library/jj865682(v=ws.10).aspx