Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen
Mithilfe dieser Richtlinie können Sie den eingehenden NTLM-Datenverkehr überwachen.
Wenn Sie "Deaktivieren" auswählen oder die Richtlinieneinstellung nicht konfigurieren, werden vom Server keine Ereignisse für eingehenden NTLM-Datenverkehr protokolliert.
Bei Auswahl von "Überwachung für Domänenkonten aktivieren", werden vom Server Ereignisse für NTLM-Pass-Through-Authentifizierungsanforderungen protokolliert, die blockiert werden würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr" auf die Option "Alle Domänenkonten verweigern" festgelegt ist.
Bei Auswahl von "Überwachung für alle Konten aktivieren" werden vom Server Ereignisse für alle NTLM-Authentifizierungsanforderungen protokolliert, die blockiert werden würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr" auf "Alle Konten verweigern" festgelegt wird.
Die Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.
Hinweis:
Überwachungsereignisse werden auf dem Computer im Protokoll "Betriebsbereit" unter "Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM" erfasst.
Registrierung:
HKLM\System\CurrentControlSet\Control\Lsa\MSV1_0\
Wert:
AuditReceivingNTLMTraffic
Unterstützt auf:
Mindestens Windows 7, Windows Server 2008 R2