Jump to content

NTLM komplett deaktivieren


Direkt zur Lösung Gelöst von falkebo,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

  • Beste Lösung
Am 3.2.2020 um 22:02 schrieb SandyB:

Hi,

Kann man in einer AD-Domäne NTLM komplett disablen? 

"Deny all" in https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain

Dann kann doch kein neuer Rechner mehr in die Domain joinen, oder habe ich einen Denkfehler? 

Wie alle bereits erwähnt haben läuft der Domain Join über Kerberos ab und nicht NTLM (wäre heutzutage auch ein Unding).
Davon ab solltest du vorher jedoch erstmal NTLM Protokollierung aktivieren und auswerten ob es noch irgendwelche Systeme oder Komponenten gibt (z.B. Webproxys, 3. Software, etc.) die NTLM verwenden. Wenn da alles clean ist kannst (und solltest) du es abschalten.

Link zu diesem Kommentar

Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User? Beide sind Security Principals, beide holen sich und haben dann auch unabhängig voneinander TGT und TGS.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN

(Immer noch einer der besten Grundlagen-Artikel dazu)

Link zu diesem Kommentar
vor 11 Stunden schrieb daabm:

Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User?

Meine Meinung bisher war, dass ohne Mitglied in der Domäne zu sein,

- bekommt der Client keine Policies (u.a. .\System\Kerberos)  

- fehlen dem Client die notwendigen SPNs für Kerberos 

- gibt es keine mutual authentication 

-> No Kerberos on non-domain clients.

Wiegesagt, ich akzeptiere gerne, dass meine Überlegungen falsch waren. 

 

bearbeitet von SandyB
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...