NTLM Verbindungen finden

Question

Wir haben vor im Unternehmen NTLM zu deaktivieren und haben im Internet gelesen dass das nicht ganz so einfach ist. Jetzt habe ich die Idee gehabt das man vielleicht irgendwie die Netzwerkverbindungen überwachen könnte uind protokollieren wo sich wer mit NTLM verbindet. Gibt es dazu eine Möglichkeit um alle NTLM Verbindungen in einer Windows Domäne aufzuspüren?

Answer 1

Du kannst den Security Log auf dem Domain Controller nach folgenden Event IDs durchsuchen.

• 4774 - An account was mapped for logon.
• 4775 - An account could not be mapped for logon.
• 4776 - The computer attempted to validate the credentials for an account.
• 4777 - The domain controller failed to validate the credentials for an account.

Hier ein Beispiel:

Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4774 -or $_.Id -eq 4775 -or $_.Id -eq 4776 -or $_.Id -eq 4777} | Select-Object Id,TimeCreated, Message | fl

Answer 2

Du kannst den Security Log nach der Event ID 4624 durchsuchen.

Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4624 } | Select-Object TimeCreated, Message | fl

In der Message unter "Detailed Authentication Information" findest du unter "Logon Process" bzw. "Authentication Package" einen Hinweis auf die Authentifizierungemethode wie z.B Kerberos, NTLM, etc.