NTLM Version rausfinden

CoolAce · 21. Mai 2019

Hallo zusammen,

ich möchte wissen welche Anwendungen noch NTLMv1 sprechen. Ich hab auf dem DC erfolgreiche Anmeldungen überwacht aber ich sehe die NTLM Version nicht

wie hier beschrieben https://support.microsoft.com/de-de/help/4090105/how-to-audit-domain-controller-use-of-ntlmv1-and-ntlmv2

Bei mir steht

Detailed Authentication Information:
    Logon Process:        Advapi  
    Authentication Package:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Transited Services:    -
    Package Name (NTLM only):    -
    Key Length:        0

:-(

Was mach ich falsch bzw. woher bekomm ich dir Infos ?

Gruß

Coolace

daabm · 21. Mai 2019

Von dem Event fehlt aber ziemlich viel, um da was dazu zu sagen... Von welchem Account stammt das?

CoolAce · 23. Mai 2019

sorry,

Der Account ist ein Service Account der unter Linux verwendet wird

An account was successfully logged on.

Subject:
    Security ID:        SYSTEM
    Account Name:        
    Account Domain:        Domain
    Logon ID:        0x3E7

Logon Information:
    Logon Type:        3
    Restricted Admin Mode:    -
    Virtual Account:        No
    Elevated Token:        Yes

Impersonation Level:        Impersonation

New Logon:
    Security ID:        Domain\Serviceuser
    Account Name:        Serviceuser
    Account Domain:        Domain
    Logon ID:        0x271AA6E
    Linked Logon ID:        0x0
    Network Account Name:    -
    Network Account Domain:    -
    Logon GUID:        {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:        0x25c
    Process Name:        C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:    Domaincontroller Name
    Source Network Address:    172.16.128.2
    Source Port:        35794

Detailed Authentication Information:
    Logon Process:        Advapi  
    Authentication Package:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Transited Services:    -
    Package Name (NTLM only):    -
    Key Length:        0

Bei dem DC handelt es sich um einen 2008R2 , selbes Phänomen auf einem 2019

sorry,

Der Account ist ein Service Account der unter Linux verwendet wird

An account was successfully logged on.

Subject:
    Security ID:        SYSTEM
    Account Name:        
    Account Domain:        Domain
    Logon ID:        0x3E7

Logon Information:
    Logon Type:        3
    Restricted Admin Mode:    -
    Virtual Account:        No
    Elevated Token:        Yes

Impersonation Level:        Impersonation

New Logon:
    Security ID:        Domain\Serviceuser
    Account Name:        Serviceuser
    Account Domain:        Domain
    Logon ID:        0x271AA6E
    Linked Logon ID:        0x0
    Network Account Name:    -
    Network Account Domain:    -
    Logon GUID:        {00000000-0000-0000-0000-000000000000}

Process Information:
    Process ID:        0x25c
    Process Name:        C:\Windows\System32\lsass.exe

Network Information:
    Workstation Name:    Domaincontroller Name
    Source Network Address:    172.16.128.2
    Source Port:        35794

Detailed Authentication Information:
    Logon Process:        Advapi  
    Authentication Package:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
    Transited Services:    -
    Package Name (NTLM only):    -
    Key Length:        0

Bei dem DC handelt es sich um einen 2008R2 , selbes Phänomen auf einem 2019

zahni · 23. Mai 2019

Dann schalte doch NTLM ab. Linux könnte auch mindestens NTLMv2 oder man nimmt LDAP(s).

Je nach Anwendung,

CoolAce · 23. Mai 2019

Das Problem ist das es diverse unterschiedliche Stände von Linux sind, der Kunde hat ca. 100 Stück im Einsatz und ich weiß nicht ob alle NTLMv2 können :-(

Wieso sehe ich es dort nicht, laut dem MS Artikel müsste er mir das anzeigen

Lian · 23. Mai 2019

Hallo CoolAce,

bist Du bitte so nett und benutzt den Code-Button ( </> ) im Editor, wenn Du Logfile-Inhalte, Fehlermeldungen oder Quellcode hinzufügst?

Das macht den Beitrag wesentlich lesbarer...

Danke für die Beachtung

daabm · 23. Mai 2019

Ich gebe zu, daß ich das Problem "so" noch nie hatte... Vielleicht hilft das explizite NTLM-Auditing?

https://blogs.technet.microsoft.com/askds/2009/10/08/ntlm-blocking-and-you-application-analysis-and-auditing-methodologies-in-windows-7/

CoolAce · 24. Mai 2019

vielen Dank für die Hilfe , das kann mir helfen :-)

Anmelden

NTLM Version rausfinden

Empfohlene Beiträge

CoolAce 17

daabm 1.428

CoolAce 17

zahni 587

CoolAce 17

Lian 2.658

daabm 1.428

CoolAce 17

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Benutzerkonto erstellen

Anmelden

Menu

Aktivitäten