Hallo,
bei uns wird zur Zeit darüber nachgedacht die NTLM-Authentifizierung auszuschalten. Dazu haben wir zunächst die Überwachung aktiviert um zu sehen, welche Dienste/Clients überhaupt NTLM nutzen. Die 8004er Events sind ja selbsterklärend. Die DCs erzeugen aber in Unmenge 8002er Events mit dem Inhalt:
NTLM server blocked audit: Audit Incoming NTLM Traffic that would be blocked
Calling process PID: 4
Calling process name:
Calling process LUID: 0x3E7
Calling process user identity: das DC$ Konto selbst
Calling process domain identity: DOMÄNE
Mechanism OID: 1.3.6.1.4.1.311.2.2.10
Audit NTLM authentication requests to this server that would be blocked if the security policy Network Security: Restrict NTLM: Incoming NTLM Traffic is set to Deny all accounts or Deny all domain accounts.
If you want this server to allow NTLM authentication, set the security policy Network Security: Restrict NTLM: Incoming NTLM Traffic to Allow all.
Im Grunde also ein Event für sich selber. Bei Google habe ich auf die schnelle nichts dazu gefunden. Da wird nur von 8001, 8003 und 8004 Events berichtet. Was also wollen mir diese Einträge sagen ?
Vielen Dank im voraus.
Viele Grüße Sven