phatair 39 Geschrieben 1. Februar 2023 Melden Teilen Geschrieben 1. Februar 2023 Guten Morgen zusammen, ich habe eine Frage zu der Kerberos-Protokolländerungen die mit dem KB5021130 begonnen wurde. Wir haben eine AD mit Domänenfunktionsebene und Gesamtstrukturfunktionsebene die noch 2012R2 ist. Die DCs sind 2019er. Mit dem November Update wurde ja die Initial deplyoment phase gestartet und über die EventLogs kann man prüfen welche Anmeldungen betroffen sind. Nun ist es bei uns so, dass hier das vCenter auftaucht. Event Source NETLOGON Event ID 5840 Event Text The Netlogon service created a secure channel with a client with RC4. Dazu hat auch vmware einen KB Beitrag erstellt. Weitere Einträge erscheinen im Eventlog nicht. Nun habe ich mir mal das vCenter AD Objekt angeschaut und das Attribut ms-DS-SupportedEncryptionType ist leer. Mit einem Script habe ich dann erstmal alle Computer Objekte geprüft. Hier war folgendes zu sehen Folgende Fragen stellen sich mir nun, da mit dem November Update ja mehrere Änderungen am Kerberos und Netlogon Protokoll gemacht bzw. gestartet Bedeutet das Ergebnis vom Script, dass ich die 13 Geräte die keinen ms-DS-SupportedEncryptionType Eintrag haben prüfen muss? Aktuell meldet sich ja nur das vCenter im Eventlog da es eine RC4 Verbindung nutzt, ich würde es also so verstehen, dass die anderen 12 Computer Objekte, die kein ms-DS-SupportedEncryptionType Attribut gefüllt haben, keine Probleme bekommen. Muss das ms-DS-SupportedEncryptionType Attribut im Computer Objekt gesetzt werden oder sollte das Attribut leer sein? Wenn das Attribut leer ist, wie bzw. wo wird der Standard geregelt? Wird das über die GPO Einstellung "Network security: Configure encryption types allowed for Kerberos" geregelt? Kann man davon ausgehen, wenn die genannten Eventlog IDs aus den hier verlinkten Beiträgen keine Treffer zeigen, dass man dann erstmal keine Probleme bekommt bzw. weitere Schritte durchführen muss? Für Tipps wäre ich sehr dankbar. Grüße Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 1. Februar 2023 Melden Teilen Geschrieben 1. Februar 2023 Die Doku von MS dazu ist "bescheiden"... Wir haben Dein 3. konfiguriert, mußten aber 2. auch noch machen, um ein konsistentes Verhalten zu bekommen. Steht nur nirgends genau beschrieben. Zitieren Link zu diesem Kommentar
phatair 39 Geschrieben 3. Februar 2023 Autor Melden Teilen Geschrieben 3. Februar 2023 Hi Martin, danke für deine Rückmeldung. Das heißt ihr habt die GPO Einstellung gesetzt und zusätzlich noch das ms-DS-SupportedEncryptionType Attribut geleert oder gefüllt? Bei uns ist aktuell auf 99% der Computerobjekte das ms-DS-SupportedEncryptionType Attribut schon gefüllt mit dem Wert 28 was RC4, AES128, AES256 bedeutet. Ich würde es jetzt also so verstehen, wenn im EventLog nichts weiter protokolliert wird, sind wir erstmal sauber konfiguriert bzw. haben keine Geräte im Netz die eine schwache Kerberosauthentifzierung verwenden. Oder sehe ich das falsch? Gruß, Steffen Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 3. Februar 2023 Melden Teilen Geschrieben 3. Februar 2023 Genau das - SupportedETypes auf 28 gesetzt zusätzlich zur GPO. 1 Zitieren Link zu diesem Kommentar
Gipsy 13 Geschrieben 9. März 2023 Melden Teilen Geschrieben 9. März 2023 (bearbeitet) Hallo zusammen, muss die GPO nur auf die DCs gesetzt werden oder für alle Systeme oder beides ? Wie habt Ihr das gemacht? Grüße Nachtrag: Bei 28 ist doch RC4 auch enthalten oder? Bei GPO kann ich RC4 rausnehmen und dann müsste ich doch eher 24 nehmen oder? Dabei ist RC4 nicht enthalten. Nachtrag2: Muss der Wert nur auf Computer-Objekte oder auch auf User-Objekte gesetzt werden? bearbeitet 9. März 2023 von Gipsy Nachtrag / Nachtrag2 Zitieren Link zu diesem Kommentar
daabm 1.366 Geschrieben 9. März 2023 Melden Teilen Geschrieben 9. März 2023 Bitte selber lesen https://techcommunity.microsoft.com/t5/itops-talk-blog/tough-questions-answered-can-i-disable-rc4-etype-for-kerberos-on/ba-p/382718 https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/decrypting-the-selection-of-supported-kerberos-encryption-types/ba-p/1628797 Und ja, es ist wirr... Da ist wohl viel Gefrickel bei den zuständigen Teams von MSFT im Spiel. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.