Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen
Mithilfe dieser Richtlinie können Sie den eingehenden NTLM-Datenverkehr überwachen.
Wenn Sie "Deaktivieren" auswählen oder die Richtlinieneinstellung nicht konfigurieren, werden vom Server keine Ereignisse für eingehenden NTLM-Datenverkehr protokolliert.
Bei Auswahl von "Überwachung für Domänenkonten aktivieren", werden vom Server Ereignisse für NTLM-Pass-Through-Authentifizierungsanforderungen protokolliert, die blockiert werden würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr" auf die Option "Alle Domänenkonten verweigern" festgelegt ist.
Bei Auswahl von "Überwachung für alle Konten aktivieren" werden vom Server Ereignisse für alle NTLM-Authentifizierungsanforderungen protokolliert, die blockiert werden würden, wenn die Richtlinieneinstellung "Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr" auf "Alle Konten verweigern" festgelegt wird.
Die Richtlinie wird mindestens unter Windows 7 oder Windows Server 2008 R2 unterstützt.
Hinweis:
Überwachungsereignisse werden auf dem Computer im Protokoll "Betriebsbereit" unter "Anwendungs- und Dienstprotokoll/Microsoft/Windows/NTLM" erfasst.
Regsitry Key: HKLM\System\CurrentControlSet\Control\Lsa\MSV1_0
Registry Value: AuditReceivingNTLMTraffic
Secedit: n/a