Weingeist 157 Geschrieben 12. September 2023 Melden Teilen Geschrieben 12. September 2023 Salut Zusammen, Kann mir jemand bestätigen oder klar verneinen, dass das 0815 Zertifikat-Enrollment z.B. für ein Computerzertifikat nach wie vor eine Abhängigkeit von NTLM hat oder eben nicht hat? (Betrifft den manuellen Bezug via certlm.msc/certreq.exe als auch das AutoEnrollment) Die Zertifikanforderung konnte nicht an die Zertifizierungsstelle übermittelt werden. URL: caFQDN\CA-DisplaynameMitDoofenLeerzeichen) Fehler: Die Anforderung wird nicht unterstützt. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED) - keine verworfene Pakete seitens Firewall - keine Kerberos Fehlermeldungen bis auf "KDC_ERR_PREAUTH_REQUIRED", gemäss MS-Webseite ist dieser Eintrag immer zu ignorieren?!? - keine sonstigen Log-Einträge auf dem Client Auf der CA wird ein NTLM-Block geworfen, heisst der Client möchte es mit NTLM versuchen. Entweder sofort oder nachdem Kerberos fehlgeschlagen ist. Noch ein Kuriosum: Freigabe von NTLM nur auf der CA nicht aber auf AD notwendig, normal ist für Domain Accounts auch eine Freigabe auf dem AD nötig. Ein Grund warum ich mir beim Scanner ein Relay bauen musste. Würde heissen entweder werden DC-Einstellungen umgangen (unschön), die Zertifikataustellung geschieht gegen ein Lokales Konto (was aber gemässs dem NTLM-Block nicht so ist. Targetserver ist unter LDAP der DC) oder die CA regelt das via ihrem Direktzugriff auf AD mit ihren eigenen Kerberos Credits, was auch wieder seltsam wäre ohne jegliche AD-Services. Wer möchte mich erleuchten? Hintergrundinfos, sofern von Belang: Rollen auf der Enterprise CA (zweistufig): - Active Directory-Zertifikatdienste>Zertifizierungstelle - Active Directory-Zertifikatdienste>Zertifizierungsstellen-Webregistrierung - IIS das mitinstalliert wir Die CA war ursprünglich auf einem 2012 R2 zu Hause, wurde gesichert und wieder eingespielt. Das Problem war auch auf dem 2012 vorhanden. Sofern das von belang ist (Konfigurationsaltlasten). Patchlevel ist aktuell. Auch wenn es die Webdienste betrifft die eigentlich nicht von der Party sein sollten (ausser ich verstehe da was falsch): IIS>CertEnroll>SSL erzwungen und es kann lesend auf die Dateien zugegriffen werden (Anonyme Authentifizierung) IIS>CertSrv>SSL erzwungen, Negotiate:Kerberos erzwungen, Keine Abfrage von Credentials in Firefox und somit Access Denied. Aktiviere ich NTLM, ist eine Authentifizierung möglich Idendität des App-Pools auf dem IIS habe ich sowhl mit User NetzwerkDienst als auch ApplicationPoolIdentity versucht. Das aber eigentlich mehr zum herausfinden ob Kerberos auf Firefox-Ebene funktionieren würde oder nicht. Scheinbar tut es das nicht. Einen separaten Benutzer habe ich mir erspart. Es läuft auf der CA zudem die gängigen Relay-Schutzmassnahmen wie die RPC-Filter für Remote-EFS, aber die blockieren ebenfalls nichts. Beim 2012R2 waren die Filter noch nicht aktiv und es ging auch nicht. Die Webdienste für die Zertifikate und Sperrlisten laufen auf ein Alias und nicht auf den internen Domain-Namen. Das wird auch per DNS aufgelöst. Grüsse und Danke für inputs Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 12. September 2023 Melden Teilen Geschrieben 12. September 2023 vor einer Stunde schrieb Weingeist: Kann mir jemand bestätigen oder klar verneinen, dass das 0815 Zertifikat-Enrollment z.B. für ein Computerzertifikat nach wie vor eine Abhängigkeit von NTLM hat oder eben nicht hat? Ich kann dir zumindest bestätigen, dass es zu Fehlern kommt, wenn du NTLM ein- oder ausgehend an der CA blockst. Also wirds vermutlich eine Abhängigkeit geben. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 12. September 2023 Autor Melden Teilen Geschrieben 12. September 2023 Also ja die Abhängigkeit gibt es nach wie vor... Klingt nach einem schlechten Scherz. Oder übersehe ich etwas? Man soll NTLM deaktivieren wegen der Relay-Attacken, aber ist ja wenig zielführend wenn man dafür keine Zertifikate mehr ausrollen kann (ausser händischem Request). Ist das ein bewusst totgeschwiegenes "Detail" oder plappern einfach alle Blogger einander nach und keiner setzt es um (auch wenn meistens im Web-Kontext davon gesprochen wird, aber im LAN ist NTLM ja das selbe Probleme) *schultzeruck* Bin ja mal gespannt wann MS das ausrollen will... Wenn sie ihre eigene Timeline befolgen, soll man ja bis im November alles auf Kerberos umgestellt haben... Schwierig wenn die Möglichkeit scheinbar noch gar niemand kennt, gar nicht vorhanden ist geschweige den breitgefächert festgestellt wird (sonst würde es ja mehr Threads dazu geben oder? ) Kennt ihr eine Möglichkeit dafür Kerberos zu forcieren? Gibt es die überhaupt? Zitieren Link zu diesem Kommentar
NorbertFe 1.805 Geschrieben 12. September 2023 Melden Teilen Geschrieben 12. September 2023 Da sich an der gesamten PKI/CA Geschichte seit ~2008 nix mehr wirklich geändert hat, denke ich mir mein Teil und habe da keine Hoffnung, dass sich da was ändern wird. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 12. September 2023 Autor Melden Teilen Geschrieben 12. September 2023 Die paar MB einer CA? Irgendwie beschämend, dass man die nicht minimal pflegen kann... Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 12. September 2023 Melden Teilen Geschrieben 12. September 2023 Nicht anders ergeht es den Print- und RAS-Diensten Der Fokus ist mittlerweile klar.. Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 12. September 2023 Autor Melden Teilen Geschrieben 12. September 2023 Gerade eben schrieb MurdocX: Nicht anders ergeht es den Print- und RAS-Diensten Der Fokus ist mittlerweile klar.. Ich bin immer wieder erstaunt, dass man politisch eine solch hohe zentralisierte Abhängigkeit duldet. Bei einem Hackangriff oder sogar physischen Angriff auf ein einzelnes solches Zentrum sind gleich tausende Firmen auf einen Schlag handlungsunfähig. *kopfschüttel* Wird seinen Anteil am Untergang des Westens beitragen. Aber noch fast jede Hochkultur in der Geschichte hat sich irgendwann selbst zugrunde gerichtet. Zitieren Link zu diesem Kommentar
testperson 1.534 Geschrieben 12. September 2023 Melden Teilen Geschrieben 12. September 2023 vor 9 Minuten schrieb MurdocX: Nicht anders ergeht es den Print- und RAS-Diensten Waaaas? Print: Universal Print – Cloud Based Print Solution (microsoft.com) RAS: Microsoft Entra Private Access | Microsoft Security vor 10 Minuten schrieb MurdocX: Der Fokus ist mittlerweile klar.. Oh. 2 Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 12. September 2023 Melden Teilen Geschrieben 12. September 2023 Wenns am NTLM-Block liegt, steht das doch im Eventlog auf den DCs - schon mal nachgeschaut? Zitieren Link zu diesem Kommentar
MurdocX 904 Geschrieben 12. September 2023 Melden Teilen Geschrieben 12. September 2023 vor 9 Stunden schrieb testperson: Waaaas? Print: Universal Print – Cloud Based Print Solution (microsoft.com) RAS: Microsoft Entra Private Access | Microsoft Security *hust* vor 9 Stunden schrieb Weingeist: Wird seinen Anteil am Untergang des Westens beitragen. Aber noch fast jede Hochkultur in der Geschichte hat sich irgendwann selbst zugrunde gerichtet. Meinst du das lag damals auch an der Cloud? Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 13. September 2023 Melden Teilen Geschrieben 13. September 2023 Ja klar - denk an die Arche Noah, biblisches Unwetter, jede Menge Cloud... 🙈 2 Zitieren Link zu diesem Kommentar
Weingeist 157 Geschrieben 14. September 2023 Autor Melden Teilen Geschrieben 14. September 2023 Am 12.9.2023 um 17:00 schrieb daabm: Wenns am NTLM-Block liegt, steht das doch im Eventlog auf den DCs - schon mal nachgeschaut? Das ist normal schon so. Der DC zeigt sie aber auch nur an, wenn sie nicht vorher geblockt werden sondern die Auth-Anfrage eben an den DC weitergeleitet wird. Auf dem DC habe ich NTLM vollständig geblockt, so wie auf allen anderen Maschinen auch. Kommt also eine NTLM-Anfrage an eine bestimmte Maschine, dann erscheint kein Eintrag auf dem DC sondern nur auf der Maschine. Weil sie eben vermutlich gar nie ankommt. Wenn man nun auf einer Maschine NTLM freigibt, dann werden lokale Konten authentifiziert (bei Zugriff von Remote), und gegen Domain Konten verworfen. Da eine Weiterleitung der Anfrage an den DC staattfindet, wird auch da ein Block geloggt. Bei der CA scheint das irgendwie anders zu laufen. Als ob die CA selber die Authentifzierung für Domain-Konten vornehmen würde. Oder eben der Block vom DC von der CA nicht stattfindet obwohl NTLM geblockt wird. Sind noch etwas halbgare Beobachtungen, Netzwerkverkehr habe ich noch nicht analysiert. Die GPO's, der Ausführung und die Auswirkungen aber schon. Auf alle Fälle reicht es aus, wenn ich NTLM Anfragen auf der CA freigebe (was ich nicht toll finde). Am 12.9.2023 um 20:58 schrieb MurdocX: *hust* Meinst du das lag damals auch an der Cloud? Nun, früher war es noch das Ding am Himmel welches einem zu schaffen gemacht hat... Wobei die macht das immer noch... Aber das Gewitter der virtuellen Cloud kommt bestimmt auch noch in die Realität. Nur eine Frage der Zeit. Aber ist doch wahr, eine solche extreme Zentralisierung ist doch völlig verblödet. Ich werde es nie begreifen wieso man nichts aus der Geschichte lernt. Es spielt keine Rolle ob die Konzentration nun auf wenige Menschen oder Maschinen ist, zu viel an einem zentralen Ort ist nie gesund wenn ganze Regionen oder Länder betroffen sind. Wie würde man sagen in der QM-Risiko-Analyse, Eintritt des Ereignisses zur Zeit unwahrscheinlich, Auswirkungen katastrophal. Massnahmen zur Zeit keine bzw. Vollgas in diese Richtung, die Wahrscheinlichkeit ist ja klein. Bis irgend ein Volldepp das Gefühl hat er müsse irgendwo Krieg "spielen". Dann wird die Wahrscheinlichkeit schlagartig erhöht, die notwendigen Massnahmen sind dann aber nicht mehr fristgerecht umzusetzen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.