Мы хотим включить аудит проверки подлинности NTLM, чтобы собрать дополнительную информацию о некоторых клиентах, пытающихся пройти проверку подлинности с помощью NTLM в домене / контроллерах домена. В частности, мы хотим включить:
- Сетевая безопасность: ограничение NTLM: аудит проверки подлинности NTLM в этом домене
- Сетевая безопасность: ограничение NTLM: аудит входящего трафика NTLM
Я нашел по этому поводу следующие статьи:
https://technet.microsoft.com/en-us/library/jj852254(v=ws.11).aspx
https://support.symantec.com/en_US/article.HOWTO79508.html
Статьи, кажется, немного пересекаются и несколько противоречат друг другу в том, где применять эти правила. В самой статье Technet не говорится о том, где создавать / применять GPO.
Итак, мой вопрос:
Где именно я должен включить эти политики? Политика контроллера домена по умолчанию? Новая политика аудита применяется на уровне домена? Применена новая политика аудита в подразделении контроллера домена?
Вам необходимо охватить как контроллеры домена, так и рядовые серверы. Я делаю отдельные, так как некоторые настройки имеют значение только для контроллеров домена. Имейте в виду, что контроллеры домена не просто обрабатывают авторизацию, они также могут быть клиентами или серверами для NTLM, например, через SMB.
См. Раздел конфигурации здесь: https://technet.microsoft.com/en-us/library/jj865682(v=ws.10).aspx