NTLM Operational

Global Community Deutsch
1

Ich habe mittels Policy in unserer Domain folgendes Log eingeschaltet:

Application and Services Logs → Microsoft → Windows → NTLM → Operational

Hierbei handelt es sich um ein Auditlog um festzustellen auf welchen Systemen noch mittels NTLM gearbeitet bzw. authentifiziert wird. Damit ich nun nicht auf alles Servern einzeln nachschauen muss würde ich dieses Log gerne mittels checkmk in unserer Eventkonsole aufnehmen. Jedoch erhalte ich auf den Hosts nur das Systemlog, Security, Application etc.

2023-05-25 12_36_19-chsg-gdi-s042 - Remotedesktopverbindung
2023-05-25 12_36_32-chsg-gdi-s042 - Remotedesktopverbindung

Was muss ich machen, damit ich dieses Log aufnehmen kann?

Unser entferntes Ziel dahinter ist NTLM als authentifizierung aus der Domain zu entfernen, sodass sich nurnoch über Kerberos angemeldet bzw. authentifiziert wird.

2

Du kannst diese Regel verwenden und den Windows-Agenten ausschalten. Wenn du das Audit log filtern möchtest, ist dies ebenfalls möglich.

Setup >> Agents >> Windows, Linux, Solaris, AIXAgent rules >> Finetune Windows Eventlog monitoring.

3

Vielen Dank für die Antwort. Ich habe eine Regel erstellt, die sieht folgendermassen aus:

image
image902×263 16.1 KB

Als Eventlog habe ich diesen Pfad angegeben

“Applications and Services Logs\Microsoft\Windows\NTLM\Operational”

Jetzt müssten meines Erachtens, wenn es den funktionieren würde, alle Einträge also auch die Informationen

image
image796×22 1.69 KB

hier abgeholt werden, oder liege ich da falsch? Muss ich evt. den Pfad zum Eventlog anders angeben?