Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen

Mithilfe dieser Richtlinie können Sie den eingehenden NTLM-Datenverkehr überwachen.

Wenn Sie "Deaktivieren" auswählen oder die Richtlinieneinstellung nicht konfigurieren, werden vom Server keine Ereignisse für eingehenden NTLM-Datenverkehr protokolliert.

Bei Auswahl von "Überwachung für Domänenkonten aktivieren", werden vom Server Ereignisse für NTLM-Pass-Through-Authentifizierungsanforderungen protokolliert, die blockiert werden würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr" auf die Option "Alle Domänenkonten verweigern" festgelegt ist.

Bei Auswahl von "Überwachung für alle Konten aktivieren" werden vom Server Ereignisse für alle NTLM-Authentifizierungsanforderungen protokolliert, die blockiert werden würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr" auf "Alle Konten verweigern" festgelegt wird.

Die Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.

Hinweis:
Überwachungsereignisse werden auf dem Computer im Protokoll "Betriebsbereit" unter "Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM" erfasst.

Registrierung:

HKLM\System\CurrentControlSet\Control\Lsa\MSV1_0\

Wert:
AuditReceivingNTLMTraffic

Unterstützt auf:
Mindestens Windows 7, Windows Server 2008 R2