Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Аудит NTLM-аутентификации на контроллерах домена: какая GPO?

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Шаг 1: Анализ источников и контекста
  4. Шаг 2: Создание и применение GPO
  5. Политики для контроллеров домена (DC)
  6. Политики для серверов-членов
  7. Шаг 3: Тестирование и мониторинг
  8. Шаг 4: Скорректируйте по необходимости
  9. Заключение

Вопрос или проблема

Мы хотим включить аудит аутентификации NTLM, чтобы собрать дополнительные сведения о некоторых клиентах, пытающихся пройти аутентификацию с использованием NTLM в домене/DC. В частности, мы хотим включить:

  • Сетевая безопасность: Ограничить NTLM: Аудит аутентификации NTLM в этом домене
  • Сетевая безопасность: Ограничить NTLM: Аудит входящего трафика NTLM

Я нашел следующие статьи, связанные с этим:

https://technet.microsoft.com/en-us/library/jj852254(v=ws.11).aspx

https://support.symantec.com/en_US/article.HOWTO79508.html

http://www.itprotoday.com/management-mobility/q-how-can-i-find-out-if-my-clients-are-using-ntlm-authentication-instead

Эти статьи слегка перекрываются и несколько противоречат друг другу относительно того, где применять эти политики. Сама статья на Technet не указывает никаких конкретных мест для создания/применения GPO.

Мой вопрос:

Где именно я должен включить эти политики? Политика контроллера домена по умолчанию? Новая политика аудита, применяемая на уровне домена? Новая политика аудита, применяемая на уровне OU контроллера домена?

Вам нужно покрыть как контроллеры домена, так и серверы-члены. Я делаю отдельные политики, так как некоторые настройки имеют значение только для контроллеров домена. Имейте в виду, что контроллеры домена не только обрабатывают аутентификацию, они также могут быть клиентами или серверами для NTLM, например, через SMB.

Смотрите раздел конфигураций здесь: https://technet.microsoft.com/en-us/library/jj865682(v=ws.10).aspx

Ответ или решение

Настройка аудита аутентификации NTLM на контроллерах домена — важная задача для мониторинга и диагностики проблем безопасности в сетевой среде. Ваша цель состоит в том, чтобы включить специфические настройки аудита NTLM, а именно: "Network security: Restrict NTLM: Audit NTLM authentication in this domain" и "Network security: Restrict NTLM: Audit Incoming NTLM Traffic". Далее я предлагаю углубленное руководство по вопросу: где именно следует включить эти политики?

Шаг 1: Анализ источников и контекста

Принимая во внимание ссылки, приведенные в вашем описании, можно сделать вывод, что существует некоторая неоднозначность в рекомендациях по применению политик. Однако общий подход заключается в том, чтобы обеспечить охват всех уровней, где используется NTLM: как на контроллерах домена (DC), так и на серверах-членах.

Шаг 2: Создание и применение GPO

Политики для контроллеров домена (DC)

  1. Создание отдельной GPO для DC:

    • Создайте новую группу политик (GPO), которую вы примените прямо на организационное подразделение (OU) с контроллерами домена.
    • Включите "Network security: Restrict NTLM: Audit NTLM authentication in this domain" и "Network security: Restrict NTLM: Audit Incoming NTLM Traffic".

  2. Применение на уровне Default Domain Controller Policy:

    • Чтобы избежать путаницы и перекрытия политик, вы можете использовать Default Domain Controller Policy, только если вы уверены, что это не повлияет негативно на другие настройки безопасности.

Политики для серверов-членов

  1. Создание отдельной GPO для серверов-членов:
    • Разработайте другую GPO, которая будет применяться к другим серверам и рабочим станциям в домене.
    • Это позволяет детективным политикам NTLM охватывать как входящий, так и исходящий трафик NTLM на всех уровнях.

Шаг 3: Тестирование и мониторинг

После того как политики будут применены:

  • Мониторинг: Регулярно проверяйте логи безопасности для сбора данных об инцидентах аутентификации NTLM.
  • Тестирование: Убедитесь, что политики не нарушают нормальную работу систем, путем тщательного тестирования на отдельных контроллерах домена и серверах.

Шаг 4: Скорректируйте по необходимости

  • Если вы заметите нежелательные последствия или недостаточную фиксацию данных, возможно корректировать политики, основываясь на результатах мониторинга.

Заключение

Эффективное управление GPO для NTLM аудита требует четкого понимания архитектуры вашей сети и целей аудита. Правильное распределение политик между DC и серверами-членами, а также регулярный мониторинг и анализ — это ключевые элементы успешного внедрения. Главное, избегайте применения одних и тех же политик на всех уровнях без должного оправдания, так как это может привести к усложнению анализа результатов аудита.

Такой подход обеспечивает целостное и содержательное покрытие всех аспектов, связанных с NTLM-аутентификацией, минимизируя потенциальные угрозы и уязвимости, идущие от устаревших протоколов.

audit domain-controller group-policy ntlm
Оцените материал
Добавить комментарий

Капча загружается...

© 2025 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности