Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver stegen för att testa alla program som använder NT LAN Manager (NTLM) version 1 på en Microsoft Windows Server-baserad domänkontrollant.
Ursprungligt KB-nummer: 4090105
Sammanfattning
Varning
Varning: Allvarliga problem kan uppstå om du felaktigt ändrar registret med hjälp av Registereditorn eller med en annan metod. Dessa problem kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att problemen kan lösas. Ändra registret på egen risk.
Du kan göra det här testet innan du anger att datorer endast ska använda NTLMv2. Om du vill konfigurera datorn att endast använda NTLMv2 anger du LMCompatibilityLevel till 5 under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa nyckeln på domänkontrollanten.
NTLM-granskning
Om du vill hitta program som använder NTLMv1 aktiverar du Granskning av lyckade inloggningar på domänkontrollanten och letar sedan efter Lyckad granskning händelse 4624, som innehåller information om versionen av NTLM.
Du får händelseloggar som liknar följande:
Sample Event ID: 4624
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xa2226a
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: Workstation1
Source Network Address:\<ip address>
Source Port: 49194
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
Mer information
Den här inloggningen i händelseloggen använder egentligen inte NTLMv1-sessionssäkerhet. Det finns faktiskt ingen sessionssäkerhet eftersom det inte finns något nyckelmaterial.
Logiken i NTLM-granskning är att den loggar NTLMv2-nivåautentisering när NTLMv2-nyckelmaterialet hittas på inloggningssessionen. Den loggar NTLMv1 i alla andra fall, som inkluderar anonyma sessioner. Därför är vår allmänna rekommendation att ignorera händelsen för användningsinformation för säkerhetsprotokoll när händelsen loggas för ANONYM INLOGGNING.
Vanliga källor till anonyma inloggningssessioner är:
Datorwebbläsare: Det är en äldre tjänst från Windows 2000 och tidigare versioner av Windows. Tjänsten innehåller listor över datorer och domäner i nätverket. Tjänsten körs i bakgrunden. I dag används dock inte längre dessa data. Vi rekommenderar att du inaktiverar den här tjänsten i hela företaget.
SID-Name-mappning: Den kan använda anonyma sessioner. Se Nätverksåtkomst: Tillåt anonym SID/namnöversättning. Vi rekommenderar att du behöver autentisering för den här funktionen.
Klientprogram som inte autentiseras: Programservern kan fortfarande skapa en inloggningssession som anonym. Det görs också när det finns tomma strängar som skickas för användarnamn och lösenord i NTLM-autentisering.