none
NTLM Eventid 8002 RRS feed

  • Allgemeine Diskussion

  • Hallo,

    bei uns wird zur Zeit darüber nachgedacht die NTLM-Authentifizierung auszuschalten. Dazu haben wir zunächst die Überwachung aktiviert um zu sehen, welche Dienste/Clients überhaupt NTLM nutzen. Die 8004er Events sind ja selbsterklärend. Die DCs erzeugen aber in Unmenge 8002er Events mit dem Inhalt:

    NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked

    Calling process PID: 4

    Calling process name:

    Calling process LUID: 0x3E7

    Calling process user identity: das DC$ Konto selbst

    Calling process domain identity: DOMÄNE

    Mechanism OID: 1.3.6.1.4.1.311.2.2.10

    Audit NTLM authentication requests to this server that would be blocked if the security policy Network Security: Restrict NTLM: Incoming NTLM Traffic is set to Deny all accounts or Deny all domain accounts.

    If you want this server to allow NTLM authentication, set the security policy Network Security: Restrict NTLM: Incoming NTLM Traffic to Allow all.

    Im Grunde also ein Event für sich selber. Bei Google habe ich auf die schnelle nichts dazu gefunden. Da wird nur von 8001, 8003 und 8004 Events berichtet. Was also wollen mir diese Einträge sagen ?

    Vielen Dank im voraus.

    Viele Grüße Sven

    Montag, 7. September 2015 07:12

Alle Antworten

  • Hi Sven,

    ich meine, erst letztens hierzu einen Thread gelesen zu haben - Microsoft selbst rät davon ab, NTLM komplett abzuschalten, da viele Dritthersteller-Applikationen, Tools etc. immer noch kein reines Kerberos beherrschen. Es macht wohl mehr Probleme, als effektiv zu nützen.

    Das aber nur nebenbei. ;-)


    Gruß

    Ben

    MCSA Windows 8 (.1) MCSA Windows Server 2012 (R2)

    Wenn Dir meine Antwort hilft, markiere sie bitte entsprechend als Antwort! Danke! :-)

    Hinweis: Meine Posts werden "wie besehen" ohne jedwede Gewähr bereitgestellt, da menschliche, technische und andere Fehler nicht ausgeschlossen werden können.

    Montag, 7. September 2015 07:16
  • Hallo,

    nachdem wir jetzt mal einen halben Tag die Logs ausgewertet haben und gesehen haben was so alles per NTLM versucht zu arbeiten, lassen wir es auch erst einmal an ;-).

    Viele Grüße Sven

    Donnerstag, 10. September 2015 07:14