本文介绍在 Microsoft基于 Windows Server 的域控制器上使用 NT LAN Manager(NTLM)版本 1 测试任何应用程序的步骤。
原始 KB 数: 4090105
总结
警告
如果使用注册表编辑器或使用其他方法错误地修改了注册表,则可能会发生严重问题。 这些问题可能需要重新安装操作系统才能解决。 Microsoft 不能保证可解决这些问题。 修改注册表的风险由您自行承担。
在将计算机设置为仅使用 NTLMv2 之前,可以执行此测试。 若要将计算机配置为仅使用 NTLMv2,请在域控制器上的密钥下HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa将 LMCompatibilityLevel 设置为 5。
NTLM 审核
若要查找使用 NTLMv1 的应用程序,请在域控制器上启用登录成功审核,然后查找成功审核事件 4624,其中包含有关 NTLM 版本的信息。
将收到类似于以下日志的事件日志:
Sample Event ID: 4624
Source: Microsoft-Windows-Security-Auditing
Event ID: 4624
Task Category: Logon
Level: Information
Keywords: Audit Success
Description:
An account was successfully logged on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0
Logon Type: 3
New Logon:
Security ID: ANONYMOUS LOGON
Account Name: ANONYMOUS LOGON
Account Domain: NT AUTHORITY
Logon ID: 0xa2226a
Logon GUID: {00000000-0000-0000-0000-000000000000}
Process Information:
Process ID: 0x0
Process Name: -
Network Information:
Workstation Name: Workstation1
Source Network Address:\<ip address>
Source Port: 49194
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
详细信息
事件日志中的此登录并不真正使用 NTLMv1 会话安全性。 实际上没有会话安全性,因为不存在密钥材料。
NTLM 审核的逻辑是,在登录会话上找到 NTLMv2 密钥材料时,它将记录 NTLMv2 级身份验证。 它在所有其他情况下记录 NTLMv1,其中包括匿名会话。 因此,我们的一般建议是在为 ANONYMOUS LOGON 记录事件时忽略安全协议使用信息的事件。
匿名登录会话的常见来源包括:
计算机浏览器服务:它是 Windows 2000 和早期版本的 Windows 中的旧服务。 该服务提供网络上的计算机和域的列表。 服务在后台运行。 但是,目前不再使用此数据。 建议在整个企业中禁用此服务。
SID 名称映射:它可以使用匿名会话。 请参阅 网络访问:允许匿名 SID/名称转换。 建议对此功能进行身份验证。
未进行身份验证的客户端应用程序:应用程序服务器仍可能创建匿名登录会话。 在 NTLM 身份验证中为用户名和密码传递空字符串时,也会执行此操作。