WIP - Audit NTLM

Audit NTLM

Objectif : désactivation de NTLM V1 sur un domaine

Fonctionnement en deux étapes, mise en place de la GPO permettant l'audit, analyse de l'audit et enfin GPO de désactivation de NTLMv1.

Filtre NTLMv1 dans le journal de connexion

<QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*[System[(EventID=4624)]] and *[EventData[Data[@Name='LmPackageName']='NTLM V1']]
    </Select>
  </Query>
</QueryList>