Мы хотим включить аудит аутентификации NTLM, чтобы собрать дополнительные сведения о некоторых клиентах, пытающихся пройти аутентификацию с использованием NTLM в домене/DC. В частности, мы хотим включить:
- Безопасность сети: Ограничить NTLM: Аудит аутентификации NTLM в этом домене
- Безопасность сети: Ограничить NTLM: Аудит входящего трафика NTLM
Я нашел следующие статьи по этой теме:
https://technet.microsoft.com/en-us/library/jj852254(v=ws.11).aspx
https://support.symantec.com/en_US/article.HOWTO79508.html
Статьи, похоже, немного пересекаются и несколько противоречат друг другу в том, где применять эти политики. Сама статья Technet не содержит никаких подробностей о том, где создавать/применять GPO.
Итак, мой вопрос:
Где именно мне следует включить эти политики? Политика контроллера домена по умолчанию? Новая политика аудита применена на уровне домена? Новая политика аудита применена в OU контроллера домена?
решение1
Вам нужно охватить как DC, так и серверы-участники. Я делаю их раздельными, так как некоторые настройки имеют значение только для DC. Имейте в виду, что DC не просто обрабатывают аутентификацию, они также могут быть клиентами или серверами для NTLM, например, через SMB.
Раздел конфигураций смотрите здесь: https://technet.microsoft.com/en-us/library/jj865682(v=ws.10).aspx