Protokollierung der NTLM-Version

Alle Antworten

• 

  

  0

  Anmelden

  Moin,

  Auditing und Event 4624 im Wesentlichen. Das wird zumindest zwischen NTLMv1 und v2 unterscheiden, wobei jede anonyme Session auch als v1 angezeigt wird.

  LM sollte heutzutage totgetreten sein, und zwar schon lange ;-)

  ---

  Evgenij Smirnov

  http://evgenij.smirnov.de

  Montag, 18. Januar 2021 22:38

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  hm....

  ja, genau so hatte ich es auch gemacht.

  Allerdings bringt die Suche nach den Wörtern ntlmv1, ntlm v1 oder anonym nichts.

  Das Log ist aufgrund der Vielzahl der Einträge aus meiner Sicht nicht zu gebrauchen.

  Wir habe aber definitiv LM und NTLMv1 Sitzungen. Sieht man per Wireshark.

   Es ist echt mühsam das raus zu finden. Alles immer try and error.

  Dienstag, 19. Januar 2021 08:42

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Moin,

  was genau meinst Du mit "Suche"?

  Es gibt tonnenweise Skripte, z.B. von Przemyslaw Klys (evotec.xyz), die das auswerten.

  ---

  Evgenij Smirnov

  http://evgenij.smirnov.de

  • Als Antwort markiert Tango_ball Mittwoch, 16. Juni 2021 10:55

  Dienstag, 19. Januar 2021 08:55

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Tango,

  ist die Thematik abgeklärt?

  Wenn diese Tipps Dir weitergeholfen haben, markiere bitte den entsprechenden Beitrag, der zur Lösung geführt hat, als Antwort. Wenn Du eine andere Lösung gefunden hast, bitte teile sie der Community mit, sodass auch andere Benutzer davon profitieren können.
  
  Grüße,
  
  Mihaela

  ---

  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  Mittwoch, 27. Januar 2021 22:29

  Antworten

  |

  Zitieren

  Moderator