Queremos ativar a auditoria de autenticação NTLM para coletar mais detalhes sobre alguns clientes que tentam autenticar usando NTLM no domínio/DCs. Especificamente, queremos habilitar:
- Segurança de rede: Restringir NTLM: auditar a autenticação NTLM neste domínio
- Segurança de rede: Restringir NTLM: auditar tráfego NTLM de entrada
Encontrei os seguintes artigos relacionados a isso:
https://technet.microsoft.com/en-us/library/jj852254(v=ws.11).aspx
https://support.symantec.com/en_US/article.HOWTO79508.html
Os artigos parecem sobrepor-se um pouco e de certa forma opor-se entre si sobre onde aplicar estas políticas. O artigo do Technet em si não indica detalhes sobre onde criar/aplicar o GPO.
Então minha pergunta é:
Onde exatamente devo ativar essas políticas? Política de controlador de domínio padrão? Nova política de auditoria aplicada no nível do domínio? Nova política de auditoria aplicada na unidade organizacional do controlador de domínio?
Responder1
Você precisa cobrir os DCs e os servidores membros. Eu faço os separados, pois algumas configurações são significativas apenas para os DCs. Tenha em mente que os DCs não processam apenas as autenticações, eles também podem ser clientes ou servidores para NTLM, via SMB por exemplo.
Veja a seção de configurações aqui: https://technet.microsoft.com/en-us/library/jj865682(v=ws.10).aspx