Jump to content

NTLM raubt mir den Nerv bzw. deren Ausnahmen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

vor 13 Stunden schrieb cj_berlin:

Durch welches Protokoll würdest Du dieses für lokale Accounts ersetzen wollen, wenn Du dir was wünschen könntest?

Ich präzisiere: Für Lokale Accounts in Maschinen die an eine Domäne gebunden sind und man sich von extern authentifizieren möchte. Diese anfragen werden auch abgeblockt wenn man z.Bsp. auf ein Share zugreifen möchte und enforcement aktiviert ist.

Edit: Deine Frage habe ich weiter oben beschrieben, dass ich das weiterhin als Ausnahme haben möchte für die Workarounds. Also NTLM. Stand jetzt, geht das nicht mit Enforcement. Sprich man muss NTLM-Blockieren wieder aufheben. Aber das weisst Du bestimmt oder? ;-)

 

Edit2: Und nein man kann - wie auch auch weiter oben beschrieben - keine Ausnahme für das Zielgerät machen sobald gängige Sicherheitsfeatures wie SMB-Signing aktiviert ist. Weil nicht das zugreifende Gerät in der Auswertung erscheint sondern eben das Gerät auf das zugegriffen wird. Auch wenn das nach dem November theoretisch keinen Unterschied mehr macht. Glaube zwar nicht, das dies von MS so gewollt ist, fakt ist es aber.

 

Das lokal ohne Domäne Kerberos "schwierig" ist, versteht sich ja von selbst oder?:rolleyes:

bearbeitet von Weingeist
Link zu diesem Kommentar
vor 20 Stunden schrieb daabm:

Bei NTLM taucht immer das Zugriffsziel auf - ist grad auch unser Problem mit einem transienten Logon von einem "vergessenen" Testaccount, wo wir noch nicht herausgefunden haben, wo er exakt herkommt (ja, Netlogon Debug Log ist aktiviert...).

Woher die Anfrage kommt, kannst in der Regel mit Firewall-Auditing herausbekommen. Die exakte Zeit der Logs vergleichen für Allow und/oder Rejected Packets.

Link zu diesem Kommentar

OK. Also mit der Windows-Firewall ist das ziemlich trivial. Weil halt auch die Log-Einträge zeitlich exakt übereinstimmen. Sprich man kann im gleichen Sekunden/Sekunden-Bruchteil die entsprechenden Pakete mit den Remote-IP's auffinden, welche zur Zeit des NTLM-Eintrages geloggt worden sind.

 

Solange MS die Authentifizierung gegen Lokale Accounts von Nicht-DC-Maschinen erlaubt bzw. das Enforcement auf Nicht-DC's nicht per se zwingend ist, kann man sich mit Nicht-Domain-Accounts behelfen.

Link zu diesem Kommentar
  • 6 Monate später...

Mal ein kurzes Feedback zum aktuellen Stand. So theoretisch wurde mit dem Oktober bzw. November Update ja eine Menge "geforced" bezüglich NTLM-Deaktivierung.

 

SMB

Der Würg-Around mit einer Remote-Authentifizierung via NTLM gegen lokale Konten funktioniert zum aktuellen Zeitpunkt nach wie vor. Auch mit SMB-Hardening-Features. Theoretisch hätte das nicht mehr funktionieren sollen. Zumindest hat es nicht mehr funktioniert wenn man es selber NTLM deaktiviert hatte. Die GPO scheinen also noch zu ziehen.

 

Aufbau: Zwei Maschinen die sich mit DFS-R einen Transfer-Ordner replizieren

Maschine 1 (Filer): Verbindung zu DC, Maschine 2, allgemeines Netzwerk, NTLM durchwegs nicht erlaubt

Maschine 2 (Relay): Verbindung auf einer Seite zu DC, Maschine 2 sowie dem Maschinennetz, NTLM erlaubt via GPO

 

Da ich NTLM auf dem DC durchgängig geblockt habe (ohne Ausnahmen), scheitern Authentifizierungsversuche mit Domain-Konten gegen den DC via Relay wie gewünscht. Authentifizierung von lokalen Konten gegen das Relay funktioniert hingegen.

 

 

Die CA

Nun die scheint auch weiter zu funktionieren. Warum und wie auch immer die sich authentifizieren kann ohne das eine Ausnahme definiert werden muss. Ist mir immer noch ein Rätsel. Scheint eine hardcoded Ausnahme zu sein.

 

 

Fazit:

Scheint als sei das enforcement nicht durchgesetzt worden seitens MS. Das legen auch ein paar Internet-Recherchen nahe. Angeblich plant MS NTLM noch mindestens zwei Jahre zu unterstützen. Bis sie ihre eigenen Hardcoded-NTLM-Geschichten gelöst haben.

Zu guter letzt soll Kerberos wohl aufgebohrt werden damit eine einseitige NTLM-ähnliche Authentifizierung ermöglicht wird. Wie auch immer das sicher gemacht wird. Habe ich mich noch nicht eingelesen. Auch ist wohl ein lokaler KDC auf jeder Maschine in Planung der NTLM auf lokaler Ebene ablösen soll.

 

Naja, immerhin hat MS genügend Angst gemacht, dass man sich vermutlich endlich darum gekümmert hat das möglichst vollständig aktiv abzuschalten wo möglich. Zumindest mir gings so, auch wenn ich nicht 100% damit gerechnet habe weil Basis-Features wie die CA nicht ohne NTLM funktionieren und ein paar grössere Hersteller noch immer tiefenentspannt waren. Aber böse bin ich nicht... dachte die SMB-Relays seien schon dem Tod geweiht und ich müsste die mühsame - dafür sichere - shared disc Geschichte mit eigenem Lock-File weiter ausbauen.  :cool:

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...