NTLM abschalten

[zahni 561]

Hi, 

 

unsere IT-Sicherheit meint, wir müssen unsere AD härten.

Dabei sollen wir auch 

 

Network security: Restrict NTLM: Incoming NTLM traffic

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

 

aktivieren. Klingt komisch, ist aber so.

Neben anderen Dingen, die so nicht funktionieren: Habt Ihr eine Idee, warum so keine Anmeldeskripte mehr ausgeführt werden, die auf der Netlogon liegen?

 

Danke im  Voraus.

 

-Zahni

[cj_berlin 1.358]

Sind sie in der Group Policy hinterlegt oder in den User-Objekten?

 

Und werden sie wirklich nicht ausgeführt oder ist "nur" das erwartete Ergebnis nicht da?

Kannst ihnen ja meinen Talk auf der BSides Berlin 2023 empfehlen 

[zahni 561]

Hi,

 

Aufruf BAT bzw. CMD beim User, Die Ausführung vom Script sieht man, bzw. eben nicht. Es wird synchron ausgeführt.

Ich überlege geradem ob das was mit RequireMutualAuthentication zu tun hat.

[cj_berlin 1.358]

...aber was sagen die NTLM-Logs dazu?

[zahni 561]

Keine Ahnung. Leider kann ich Security-Events nicht wirklich lesen, da für unser SIEM ein sehr ausführliches Logging konfiguriert wurde.

Eins nach dem Anderen. Eigentlich hat mein Kollege heute damit angefangen und ich muss was Anderes machen. Natürlich war ich sein Opfer...

 

Edit: Wahrscheinlich liegt  es daran. Jetzt muss mein Kollege herausfinden, warum das bei uns auf 0 steht. Da gab es bestimmt einen Grund für...

 

https://woshub.com/cant-access-domain-sysvol-netlogon-folders/

bearbeitet vor 4 Stunden von zahni