Jump to content
SandyB

NTLM komplett deaktivieren

Recommended Posts

Dass eine Domänenaufnahme  mit Kerberos und nicht mit NTLM abgesichert wird.

Es würde mir eine Reihe von Problemen lösen, wenn dem so ist.

Share this post


Link to post
Share on other sites

Klar ist das Kerberos. Mit dem Admin-Kennwort, das Du beim Join eingibst (oder dem Offline-Join-File bei Prestaging) hat der Computer ein Secret, um einen Secure Channel aufzubauen, und dann geht auch Kerberos.

Share this post


Link to post
Share on other sites

Ich bin bis jetzt davon ausgegangen, dass eine Domain Membership Voraussetzung für den Austausch von Kerberostickets ist.

Ich werde versuchen, mich besser einzulesen. 

 

Share this post


Link to post
Share on other sites
Am 3.2.2020 um 22:02 schrieb SandyB:

Hi,

Kann man in einer AD-Domäne NTLM komplett disablen? 

"Deny all" in https://docs.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/network-security-restrict-ntlm-ntlm-authentication-in-this-domain

Dann kann doch kein neuer Rechner mehr in die Domain joinen, oder habe ich einen Denkfehler? 

Wie alle bereits erwähnt haben läuft der Domain Join über Kerberos ab und nicht NTLM (wäre heutzutage auch ein Unding).
Davon ab solltest du vorher jedoch erstmal NTLM Protokollierung aktivieren und auswerten ob es noch irgendwelche Systeme oder Komponenten gibt (z.B. Webproxys, 3. Software, etc.) die NTLM verwenden. Wenn da alles clean ist kannst (und solltest) du es abschalten.

Share this post


Link to post
Share on other sites

Ich war felsenfest überzeugt, dass für eine Kerberos  Authentication sowohl ein Computer- als auch ein Userkonto vorhanden sein müssen. So kann man sich irren.

Danke!

Share this post


Link to post
Share on other sites

Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User? Beide sind Security Principals, beide holen sich und haben dann auch unabhängig voneinander TGT und TGS.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc772815(v=ws.10)?redirectedfrom=MSDN

(Immer noch einer der besten Grundlagen-Artikel dazu)

Share this post


Link to post
Share on other sites
vor 11 Stunden schrieb daabm:

Man möge mich als pedantisch bezeichnen, aber wo ist bei Kerberos der Zuammenhang zwischen Computer und User?

Meine Meinung bisher war, dass ohne Mitglied in der Domäne zu sein,

- bekommt der Client keine Policies (u.a. .\System\Kerberos)  

- fehlen dem Client die notwendigen SPNs für Kerberos 

- gibt es keine mutual authentication 

-> No Kerberos on non-domain clients.

Wiegesagt, ich akzeptiere gerne, dass meine Überlegungen falsch waren. 

 

Edited by SandyB

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


Werbepartner:



×
×
  • Create New...