Weingeist 159 Geschrieben 11. Mai 2023 Autor Melden Teilen Geschrieben 11. Mai 2023 (bearbeitet) vor 13 Stunden schrieb cj_berlin: Durch welches Protokoll würdest Du dieses für lokale Accounts ersetzen wollen, wenn Du dir was wünschen könntest? Ich präzisiere: Für Lokale Accounts in Maschinen die an eine Domäne gebunden sind und man sich von extern authentifizieren möchte. Diese anfragen werden auch abgeblockt wenn man z.Bsp. auf ein Share zugreifen möchte und enforcement aktiviert ist. Edit: Deine Frage habe ich weiter oben beschrieben, dass ich das weiterhin als Ausnahme haben möchte für die Workarounds. Also NTLM. Stand jetzt, geht das nicht mit Enforcement. Sprich man muss NTLM-Blockieren wieder aufheben. Aber das weisst Du bestimmt oder? Edit2: Und nein man kann - wie auch auch weiter oben beschrieben - keine Ausnahme für das Zielgerät machen sobald gängige Sicherheitsfeatures wie SMB-Signing aktiviert ist. Weil nicht das zugreifende Gerät in der Auswertung erscheint sondern eben das Gerät auf das zugegriffen wird. Auch wenn das nach dem November theoretisch keinen Unterschied mehr macht. Glaube zwar nicht, das dies von MS so gewollt ist, fakt ist es aber. Das lokal ohne Domäne Kerberos "schwierig" ist, versteht sich ja von selbst oder? bearbeitet 11. Mai 2023 von Weingeist Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 11. Mai 2023 Melden Teilen Geschrieben 11. Mai 2023 Bei NTLM taucht immer das Zugriffsziel auf - ist grad auch unser Problem mit einem transienten Logon von einem "vergessenen" Testaccount, wo wir noch nicht herausgefunden haben, wo er exakt herkommt (ja, Netlogon Debug Log ist aktiviert...). Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 12. Mai 2023 Autor Melden Teilen Geschrieben 12. Mai 2023 vor 20 Stunden schrieb daabm: Bei NTLM taucht immer das Zugriffsziel auf - ist grad auch unser Problem mit einem transienten Logon von einem "vergessenen" Testaccount, wo wir noch nicht herausgefunden haben, wo er exakt herkommt (ja, Netlogon Debug Log ist aktiviert...). Woher die Anfrage kommt, kannst in der Regel mit Firewall-Auditing herausbekommen. Die exakte Zeit der Logs vergleichen für Allow und/oder Rejected Packets. Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 15. Mai 2023 Melden Teilen Geschrieben 15. Mai 2023 Hat der Netapp-Kollege versucht. Hat aber nicht geklappt - und ab hier mal wieder "ich war nicht beteiligt, ich weiß nicht woran es gescheitert ist". Ja, "eigentlich" findet man das easy im SMB-Handshake. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 16. Mai 2023 Autor Melden Teilen Geschrieben 16. Mai 2023 OK. Also mit der Windows-Firewall ist das ziemlich trivial. Weil halt auch die Log-Einträge zeitlich exakt übereinstimmen. Sprich man kann im gleichen Sekunden/Sekunden-Bruchteil die entsprechenden Pakete mit den Remote-IP's auffinden, welche zur Zeit des NTLM-Eintrages geloggt worden sind. Solange MS die Authentifizierung gegen Lokale Accounts von Nicht-DC-Maschinen erlaubt bzw. das Enforcement auf Nicht-DC's nicht per se zwingend ist, kann man sich mit Nicht-Domain-Accounts behelfen. Zitieren Link zu diesem Kommentar
Weingeist 159 Geschrieben 22. November 2023 Autor Melden Teilen Geschrieben 22. November 2023 Mal ein kurzes Feedback zum aktuellen Stand. So theoretisch wurde mit dem Oktober bzw. November Update ja eine Menge "geforced" bezüglich NTLM-Deaktivierung. SMB Der Würg-Around mit einer Remote-Authentifizierung via NTLM gegen lokale Konten funktioniert zum aktuellen Zeitpunkt nach wie vor. Auch mit SMB-Hardening-Features. Theoretisch hätte das nicht mehr funktionieren sollen. Zumindest hat es nicht mehr funktioniert wenn man es selber NTLM deaktiviert hatte. Die GPO scheinen also noch zu ziehen. Aufbau: Zwei Maschinen die sich mit DFS-R einen Transfer-Ordner replizieren Maschine 1 (Filer): Verbindung zu DC, Maschine 2, allgemeines Netzwerk, NTLM durchwegs nicht erlaubt Maschine 2 (Relay): Verbindung auf einer Seite zu DC, Maschine 2 sowie dem Maschinennetz, NTLM erlaubt via GPO Da ich NTLM auf dem DC durchgängig geblockt habe (ohne Ausnahmen), scheitern Authentifizierungsversuche mit Domain-Konten gegen den DC via Relay wie gewünscht. Authentifizierung von lokalen Konten gegen das Relay funktioniert hingegen. Die CA Nun die scheint auch weiter zu funktionieren. Warum und wie auch immer die sich authentifizieren kann ohne das eine Ausnahme definiert werden muss. Ist mir immer noch ein Rätsel. Scheint eine hardcoded Ausnahme zu sein. Fazit: Scheint als sei das enforcement nicht durchgesetzt worden seitens MS. Das legen auch ein paar Internet-Recherchen nahe. Angeblich plant MS NTLM noch mindestens zwei Jahre zu unterstützen. Bis sie ihre eigenen Hardcoded-NTLM-Geschichten gelöst haben. Zu guter letzt soll Kerberos wohl aufgebohrt werden damit eine einseitige NTLM-ähnliche Authentifizierung ermöglicht wird. Wie auch immer das sicher gemacht wird. Habe ich mich noch nicht eingelesen. Auch ist wohl ein lokaler KDC auf jeder Maschine in Planung der NTLM auf lokaler Ebene ablösen soll. Naja, immerhin hat MS genügend Angst gemacht, dass man sich vermutlich endlich darum gekümmert hat das möglichst vollständig aktiv abzuschalten wo möglich. Zumindest mir gings so, auch wenn ich nicht 100% damit gerechnet habe weil Basis-Features wie die CA nicht ohne NTLM funktionieren und ein paar grössere Hersteller noch immer tiefenentspannt waren. Aber böse bin ich nicht... dachte die SMB-Relays seien schon dem Tod geweiht und ich müsste die mühsame - dafür sichere - shared disc Geschichte mit eigenem Lock-File weiter ausbauen. Zitieren Link zu diesem Kommentar
cj_berlin 1.329 Geschrieben 23. November 2023 Melden Teilen Geschrieben 23. November 2023 vor 7 Stunden schrieb Weingeist: So theoretisch wurde mit dem Oktober bzw. November Update ja eine Menge "geforced" bezüglich NTLM-Deaktivierung. Magst Du mal auf konkrete Ressourcen/Passagen in der CU-Beschreibung hinweisen, die Dich zu dieser Annahme verleitet haben? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.