Jump to content

Authentifizierung per Kerberos erzwingen anstatt NTLM


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo!

 

Ich habe akuell eine Test-Domäne aufgebaut, die eine Mischung aus Clients auf Basis von Windows XP und Windows 7 enthält. Der Domain-Controller ist ein Windows 2012 Server Standard Edition. In meinem AD sind alle Client-PCs hinterlegt, Benutzer angelegt usw. Die Anmeldung klappt fehlerfrei. Ich erhalte allerdings in den Log-Files folgende Warning:

 

TEST-SERVER-01 6038 Warnung Microsoft-Windows-LSA System 10.11.2013 17:46:52


Von Microsoft Windows Server wurde festgestellt, dass momentan zwischen Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses Ereignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig für den Server verwendet wird.


NTLM ist ein relativ schwacher Authentifizierungsmechanismus. Prüfen Sie Folgendes:


      Von welchen Anwendungen wird die NTLM-Authentifizierung verwendet?
      Liegen Konfigurationsprobleme vor, die verhindern, dass ein stärkerer Authentifizierungsmechanismus (etwa Kerberos) verwendet wird?
      Wenn NTLM unterstützt werden muss: Ist der erweiterte Schutz konfiguriert?


Ausführliche Informationen zum Ausführen dieser Überprüfungen finden Sie unter "http://go.microsoft.com/fwlink/?LinkId=225699".

 

In den GPOs sind folgende Einstellungen für das Thema relevant:

  • Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern                           Nicht definiert
  • Netzwerksicherheit: Beschränken von NTLM: Eingehenden NTLM-Datenverkehr überwachen                                     Überwachung für alle Konten aktivieren
  • Netzwerksicherheit: Beschränken von NTLM: Eingehender NTLM-Datenverkehr                                                          Nicht definiert
  • Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne                                              Nicht definiert
  • Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen                          Alle aktivieren
  • Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung hinzufügen    Nicht definiert
  • Netzwerksicherheit: Beschränken von NTLM: Serverausnahmen in dieser Domäne hinzufügen                                    Nicht definiert

Ich habe nun per GPO die Überwachung von NTLM aktiviert (siehe Liste oben). In der entsprechenden Log-Datei ist auch eindeutig zu sehen, dass sich meine Windows 7 Client bei der Anmeldung am Domain Controller oder auch beim Zugriff auf Netzwerkfreigaben per NTLM authentifizieren. Ich erhalte entsprechende Einträge im Log-File.

Ich habe nun versucht über die oben genannten Richtlinien den NTLM-Datenverkehr am Server zu blocken. Das hat zur Folge, dass ich mich mit meinen Windows 7 Clients am Server nicht mehr anmelden kann. Meine Hoffnung war, dass diese automatisch eine Kerberos Authentifizierung versuchen würden. Soweit ich im Internet recherchiert habe, sollte ab Windows 2000 eine Anmeldung mit Kerberos möglich sein.

 

Ich konnte bisher noch keine Möglichkeit durch Internet-Recherche finden, die Windows Clients (vermutlich per GPO) zu überreden sich anstatt mit NTLM mit Kerberos am Server zu authentifizieren.

 

Habt ihr bei diesem Thema Erfahrung und könnt mir einen Hinweis geben?

 

Danke und viele Grüße,

ferraith

 

 

Eine Anmerkung habe ich noch:

 

 

Ich habe nun mit klist sowohl am Domain Controller als auch an einem der Clients mir die aktuell gültigen Tickets anzeigen lassen. Dort sind Tickets hinterlegt. Z.B.:

 

 

Aktuelle Anmelde-ID ist 0:0x2fe80d
 
Zwischengespeicherte Tickets: (3)
 
#0>     Client: Test.User @ EXAMPLE.DE
        Server: krbtgt/EXAMPLE.DE @ EXAMPLE.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x60a10000 -> forwardable forwarded renewable pre_authent name_canonicalize
        Startzeit: 11/10/2013 20:58:32 (lokal)
        Endzeit:   11/11/2013 6:58:32 (lokal)
        Erneuerungszeit: 11/17/2013 20:58:32 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
 
 
#1>     Client: Test.User @ EXAMPLE.DE
        Server: krbtgt/EXAMPLE.DE @ EXAMPLE.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x40e10000 -> forwardable renewable initial pre_authent name_canonicalize
        Startzeit: 11/10/2013 20:58:32 (lokal)
        Endzeit:   11/11/2013 6:58:32 (lokal)
        Erneuerungszeit: 11/17/2013 20:58:32 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96
 
 
#2>     Client: Test.User @ EXAMPLE.DE
        Server: cifs/test-server-01.example.de @ EXAMPLE.DE
        KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
        Ticketkennzeichen 0x40a50000 -> forwardable renewable pre_authent ok_as_delegate name_canonicalize
        Startzeit: 11/10/2013 20:58:32 (lokal)
        Endzeit:   11/11/2013 6:58:32 (lokal)
        Erneuerungszeit: 11/17/2013 20:58:32 (lokal)
        Sitzungsschlüsseltyp: AES-256-CTS-HMAC-SHA1-96

 

Es scheint wohl doch mit Kerberos zumindest teilweise eine Authentifizierung stattzufinden.

 

Mit setspn.exe erhalte ich am Client ebenfalls gesetzte SPNs:

 

 

C:\Users\Test.User>setspn -L test-client-01
Registrierte Dienstprinzipalnamen (SPN) für CN=test-client-01,OU=Domain Clients,DC=example,DC=de:
        TERMSRV/TEST-CLIENT-01
        TERMSRV/test-client-01.example.de
        RestrictedKrbHost/TEST-CLIENT-01
        HOST/TEST-CLIENT-01
        RestrictedKrbHost/TEST-CLIENT-01.example.de
        HOST/TEST-CLIENT-01.example.de

 

So recht erklären kann ich mir immer noch nicht warum teilweise NTLM Authentifizierung verwendet wird.

bearbeitet von ferraith
Link zu diesem Kommentar

Schau Dir mal hier meinen Beitrag an:

 

http://www.mcseboard.de/topic/194391-grundlagen-kerberosntlm-und-basic-authentifizierung/

 

Dort findest Du auch einen Link zum openbook Windows Server 2008 R2, in dem sehr detailliert beschrieben wird, wie Kerberos funktioniert. Vielleicht kommst Du so Deinem Problem auf die Schliche :)

bearbeitet von iDiddi
Link zu diesem Kommentar

Aus mir unerklärlichen Gründen klappt die Anmeldung sowohl an den Win XP als auch Win 7 Clients nun fehlerfrei, obwohl ich die NTLM-GPO-Regeln auf die schärfste Stufe eingestellt habe. Ich kann mich allerdings nicht erinnern etwas aktiv verändert zu haben. Ich habe das Monitoring noch aktiv und kann sehen, dass vereinzelt jemand versucht sich per NTLM zu authentifizieren, was allerdings (wie konfiguriert) richtigerweise geblockt wird. Nichts desto trotz scheinen alle Applikationen korrekt zu funktionieren. Die Meldung im Eventlog bezüglich LSA ist auch verwunden.

 

Es waren zumindest ein paar sehr lehrreiche Stunden über das Thema Kerberos und deren Windows Implementierung  :D

bearbeitet von ferraith
Link zu diesem Kommentar

Noch ein Nachtrag:

Schlussendlich habe ich jetzt doch das Problem gefunden:

Ich greife auf alle Rechner der Domäne von einem PC außerhalb der Domäne zu, der sich in einem anderen Subnetz aufhält. hierzu habe ich provisorisch im hosts file die DNS-Namen der PCs + IP-Adressen hinterlegt. Kerberos ist wie ich in einem deiner Artikel gelesen habe, auf eine korrekte DNS-Auflösung angewiesen. Diese klappt bei mir am Rechner natürlich nicht, weil ich auch nicht den DNS-Server der Domäne eingetragen habe. Ich dachte mir für meine Remote-Desktop-Verbindungen reicht eine einfache Lösung.

 

Habe ich meinen Remote-Desktop-PC im Subnetz der Domäne und erhalte vom dortigen DHCP-Server eine IP-Konfiguration funktioniert die Kerberos Authentifizierung fehlerfrei. Bin ich allerdings in meinem eigenen Subnetz, scheitert die Anmeldung per Kerberos und er fällt auf NTLM zurück.

 

Somit ist das Rätsel gelöst :p  

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...