CoolAce 17 Geschrieben 21. Mai 2019 Melden Geschrieben 21. Mai 2019 Hallo zusammen, ich möchte wissen welche Anwendungen noch NTLMv1 sprechen. Ich hab auf dem DC erfolgreiche Anmeldungen überwacht aber ich sehe die NTLM Version nicht wie hier beschrieben https://support.microsoft.com/de-de/help/4090105/how-to-audit-domain-controller-use-of-ntlmv1-and-ntlmv2 Bei mir steht Detailed Authentication Information: Logon Process: Advapi Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Transited Services: - Package Name (NTLM only): - Key Length: 0 :-( Was mach ich falsch bzw. woher bekomm ich dir Infos ? Gruß Coolace Zitieren
daabm 1.386 Geschrieben 21. Mai 2019 Melden Geschrieben 21. Mai 2019 Von dem Event fehlt aber ziemlich viel, um da was dazu zu sagen... Von welchem Account stammt das? Zitieren
CoolAce 17 Geschrieben 23. Mai 2019 Autor Melden Geschrieben 23. Mai 2019 sorry, Der Account ist ein Service Account der unter Linux verwendet wird An account was successfully logged on. Subject: Security ID: SYSTEM Account Name: Account Domain: Domain Logon ID: 0x3E7 Logon Information: Logon Type: 3 Restricted Admin Mode: - Virtual Account: No Elevated Token: Yes Impersonation Level: Impersonation New Logon: Security ID: Domain\Serviceuser Account Name: Serviceuser Account Domain: Domain Logon ID: 0x271AA6E Linked Logon ID: 0x0 Network Account Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x25c Process Name: C:\Windows\System32\lsass.exe Network Information: Workstation Name: Domaincontroller Name Source Network Address: 172.16.128.2 Source Port: 35794 Detailed Authentication Information: Logon Process: Advapi Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Transited Services: - Package Name (NTLM only): - Key Length: 0 Bei dem DC handelt es sich um einen 2008R2 , selbes Phänomen auf einem 2019 sorry, Der Account ist ein Service Account der unter Linux verwendet wird An account was successfully logged on. Subject: Security ID: SYSTEM Account Name: Account Domain: Domain Logon ID: 0x3E7 Logon Information: Logon Type: 3 Restricted Admin Mode: - Virtual Account: No Elevated Token: Yes Impersonation Level: Impersonation New Logon: Security ID: Domain\Serviceuser Account Name: Serviceuser Account Domain: Domain Logon ID: 0x271AA6E Linked Logon ID: 0x0 Network Account Name: - Network Account Domain: - Logon GUID: {00000000-0000-0000-0000-000000000000} Process Information: Process ID: 0x25c Process Name: C:\Windows\System32\lsass.exe Network Information: Workstation Name: Domaincontroller Name Source Network Address: 172.16.128.2 Source Port: 35794 Detailed Authentication Information: Logon Process: Advapi Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Transited Services: - Package Name (NTLM only): - Key Length: 0 Bei dem DC handelt es sich um einen 2008R2 , selbes Phänomen auf einem 2019 Zitieren
zahni 566 Geschrieben 23. Mai 2019 Melden Geschrieben 23. Mai 2019 Dann schalte doch NTLM ab. Linux könnte auch mindestens NTLMv2 oder man nimmt LDAP(s). Je nach Anwendung, Zitieren
CoolAce 17 Geschrieben 23. Mai 2019 Autor Melden Geschrieben 23. Mai 2019 Das Problem ist das es diverse unterschiedliche Stände von Linux sind, der Kunde hat ca. 100 Stück im Einsatz und ich weiß nicht ob alle NTLMv2 können :-( Wieso sehe ich es dort nicht, laut dem MS Artikel müsste er mir das anzeigen Zitieren
Lian 2.531 Geschrieben 23. Mai 2019 Melden Geschrieben 23. Mai 2019 Hallo CoolAce, bist Du bitte so nett und benutzt den Code-Button ( </> ) im Editor, wenn Du Logfile-Inhalte, Fehlermeldungen oder Quellcode hinzufügst? Das macht den Beitrag wesentlich lesbarer... Danke für die Beachtung Zitieren
Beste Lösung daabm 1.386 Geschrieben 23. Mai 2019 Beste Lösung Melden Geschrieben 23. Mai 2019 Ich gebe zu, daß ich das Problem "so" noch nie hatte... Vielleicht hilft das explizite NTLM-Auditing? https://blogs.technet.microsoft.com/askds/2009/10/08/ntlm-blocking-and-you-application-analysis-and-auditing-methodologies-in-windows-7/ Zitieren
CoolAce 17 Geschrieben 24. Mai 2019 Autor Melden Geschrieben 24. Mai 2019 vielen Dank für die Hilfe , das kann mir helfen Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.