NTLM komplett deaktivieren

[SandyB 9]

Hi,

Kann man in einer AD-Domäne NTLM komplett disablen? 

"Deny all" in https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain

Dann kann doch kein neuer Rechner mehr in die Domain joinen, oder habe ich einen Denkfehler? 

[daabm 1.429]

Doch, kann er. Für den Join braucht's kein NTLM.

[SandyB 9]

Echt nicht? Welches Protokoll dann? 

[Nobbyaushb 1.580]

vor 12 Minuten schrieb SandyB:

Echt nicht? Welches Protokoll dann? 

Meines Wissens Kerberos

[SandyB 9]

Jetzt bringt ihr mein Windows Bild vollkommen zum Einsturz

[lefg 276]

Moin

 

Wozu soll das gut sein?

bearbeitet 6. Februar 2020 von lefg

[NorbertFe 2.279]

vor 22 Minuten schrieb SandyB:

Jetzt bringt ihr mein Windows Bild vollkommen zum Einsturz

Womit?  :)

[SandyB 9]

Dass eine Domänenaufnahme  mit Kerberos und nicht mit NTLM abgesichert wird.

Es würde mir eine Reihe von Problemen lösen, wenn dem so ist.

[daabm 1.429]

Klar ist das Kerberos. Mit dem Admin-Kennwort, das Du beim Join eingibst (oder dem Offline-Join-File bei Prestaging) hat der Computer ein Secret, um einen Secure Channel aufzubauen, und dann geht auch Kerberos.

[SandyB 9]

Ich bin bis jetzt davon ausgegangen, dass eine Domain Membership Voraussetzung für den Austausch von Kerberostickets ist.

Ich werde versuchen, mich besser einzulesen. 

 

[falkebo 21]

Am 3.2.2020 um 22:02 schrieb SandyB:

Hi,

Kann man in einer AD-Domäne NTLM komplett disablen? 

"Deny all" in https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain

Dann kann doch kein neuer Rechner mehr in die Domain joinen, oder habe ich einen Denkfehler? 

Wie alle bereits erwähnt haben läuft der Domain Join über Kerberos ab und nicht NTLM (wäre heutzutage auch ein Unding).
Davon ab solltest du vorher jedoch erstmal NTLM Protokollierung aktivieren und auswerten ob es noch irgendwelche Systeme oder Komponenten gibt (z.B. Webproxys, 3. Software, etc.) die NTLM verwenden. Wenn da alles clean ist kannst (und solltest) du es abschalten.

[SandyB 9]

Ich war felsenfest überzeugt, dass für eine Kerberos  Authentication sowohl ein Computer- als auch ein Userkonto vorhanden sein müssen. So kann man sich irren.

Danke!

[daabm 1.429]

Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User? Beide sind Security Principals, beide holen sich und haben dann auch unabhängig voneinander TGT und TGS.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN

(Immer noch einer der besten Grundlagen-Artikel dazu)

[SandyB 9]

vor 11 Stunden schrieb daabm:

Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User?

Meine Meinung bisher war, dass ohne Mitglied in der Domäne zu sein,

- bekommt der Client keine Policies (u.a. .\System\Kerberos)  

- fehlen dem Client die notwendigen SPNs für Kerberos 

- gibt es keine mutual authentication 

-> No Kerberos on non-domain clients.

Wiegesagt, ich akzeptiere gerne, dass meine Überlegungen falsch waren. 

 

bearbeitet 8. Februar 2020 von SandyB

[NilsK 3.046]

Moin,

 

Da scheinst du ein paar Dinge durcheinander zu bringen.

 

Gruß, Nils