Queremos activar la auditoría de autenticación NTLM para recopilar más detalles sobre algunos clientes que intentan autenticarse mediante NTLM en el dominio/DC. Específicamente queremos habilitar:
- Seguridad de red: Restringir NTLM: Auditar la autenticación NTLM en este dominio
- Seguridad de red: Restringir NTLM: Auditar el tráfico NTLM entrante
Encontré los siguientes artículos relacionados con esto:
https://technet.microsoft.com/en-us/library/jj852254(v=ws.11).aspx
https://support.symantec.com/en_US/article.HOWTO79508.html
Los artículos parecen superponerse un poco y en cierto modo se oponen entre sí sobre dónde aplicar estas políticas. El artículo de Technet en sí no indica ningún detalle sobre dónde crear/aplicar el GPO.
Entonces mi pregunta es:
¿Dónde exactamente debo habilitar estas políticas? ¿Política de controlador de dominio predeterminada? ¿Nueva política de auditoría aplicada a nivel de dominio? ¿Nueva política de auditoría aplicada en la unidad organizativa del controlador de dominio?
Respuesta1
Debe cubrir tanto los DC como los servidores miembros. Los separo, ya que algunas de las configuraciones son significativas solo para los países en desarrollo. Tenga en cuenta que los DC no solo procesan las autorizaciones, sino que también pueden ser clientes o servidores para NTLM, a través de SMB, por ejemplo.
Vea la sección de configuraciones aquí: https://technet.microsoft.com/en-us/library/jj865682(v=ws.10).aspx