我们希望启用 NTLM 身份验证审核,以收集有关某些尝试使用 NTLM 向域/DC 进行身份验证的客户端的更多详细信息。具体来说,我们希望启用:
- 网络安全:限制 NTLM:审核此域中的 NTLM 身份验证
- 网络安全:限制 NTLM:审核传入 NTLM 流量
我找到了以下与此相关的文章:
https://technet.microsoft.com/en-us/library/jj852254(v=ws.11).aspx
https://support.symantec.com/en_US/article.HOWTO79508.html
这些文章似乎有些重叠,而且在在哪里应用这些策略方面有些互相矛盾。Technet 文章本身并没有说明在哪里创建/应用 GPO 的具体细节。
我的问题是:
我究竟应该在哪里启用这些策略? 默认域控制器策略?在域级别应用新审计策略?在域控制器 OU 应用新审计策略?
答案1
您需要同时涵盖 DC 和成员服务器。我将它们分开,因为某些设置仅对 DC 有意义。请记住,DC 不仅处理身份验证,它们还可以是 NTLM 的客户端或服务器,例如通过 SMB。
请参阅此处的配置部分: https://technet.microsoft.com/en-us/library/jj865682(v=ws.10).aspx