Jump to content

LAN Manager-Authentifizierungsebene


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

heute ist Tag der Fragen. :)

Im Zuge eines anderen Problems ist mir aufgefallen, dass wir (aus der Vergangenheit?) in der "Default Domain Policy" die folgende Konfiguration verteilen.

 

grafik.thumb.png.7d0c28222846858fb1696b4dd769202c.png

 

Meine Frage ist, dass ist doch nicht mehr aktuell und sollte durch die Einstellung Nur NTLMv2-Antworten senden, LM & NTLM verweigern ersetzt werden oder wie handhabt

Ihr das in euren Umgebungen? Bis auf einen NetServer auf mehreren System i5-Systemen verfügen wir nur über Windows Server 2012 und höher sowie Windows 10.

 

Grüße

Link zu diesem Kommentar
Am 15.1.2022 um 17:25 schrieb daabm:

Vielleicht sollte man auch das NTLM-Auditing aktivieren, anschauen was da noch so kommt, abstellen und dann auch NTLM abstellen... Wenn man keine MS-Cluster betreibt, klappt das sogar :-) (Kein Spaß - wir versuchen das grad, und das einzige, was uns die Suppe versalzt, sind Windows-Cluster und SCVMM...)

 

Gute Idee, soweit ich in den Docs gefunden habe, gibt es drei Richtlinien?

 

Network security: Restrict NTLM: Audit Incoming NTLM Traffic     
Network security: Restrict NTLM: Audit NTLM authentication in this domain     
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

 

Die Erste für Domain Controller (verteilen via Default Domain Controller Policy?) und die anderen beiden für die restlichen Systeme. Aber was heißt das? Nur Server oder auch Clients - vmtl. nur Ersteres, oder?

Link zu diesem Kommentar
  • 2 Wochen später...

Das ist korrekt.

Allerdings muss ich sagen, dass sich wirklich alle angemeldeten Benutzerkonten gesperrt haben auf einen Schlag. Wir haben eine Skript laufen,

welches uns via E-Mail informiert, wenn ein Anwender zu oft das falsche Kennwort eingegeben hat und daraus resultierend gesperrt wird (fragt einfach ein Event ab). Nach der o.g. Konfiguration kamen innerhalb von Minuten die E-Mails auf einen Schlag und die Accounts waren zu.

 

Ich werde wohl das Logging aktivieren müssen - kann/darf ich dies in einer sep. GPO machen, die ich auf Testkandidaten linke?

Und darf innerhalb der GPO auch die o.g. Konfiguration gesetzt werden?

Link zu diesem Kommentar

Moin,

 

verstehe, das sind ja bestimmt auch zwei Stunden Zeit, eine Testumgebung mit VMs aufzubauen. Dann wird dir wohl nichts übrig bleiben, als weiter auf eine Produktionsumgebung zu verzichten, wenn du die vorhandene zum Testsystem umfunktionieren musst. </ sarcasm>

 

Dann formuliere ich mal positiv: Wie du jetzt durch das Lahmlegen erfahren hast, ist es sinnvoll, Änderungen dieser Art in einer unkritischen Testumgebung durchzuspielen. Da wir aus deinen Schilderungen auch nicht jedes Detail aus der Ferne einschätzen können, wird dir das mehr Handlungssicherheit geben.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...