NTLM abschalten

[zahni 566]

Hi, 

 

unsere IT-Sicherheit meint, wir müssen unsere AD härten.

Dabei sollen wir auch 

 

Network security: Restrict NTLM: Incoming NTLM traffic

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

 

aktivieren. Klingt komisch, ist aber so.

Neben anderen Dingen, die so nicht funktionieren: Habt Ihr eine Idee, warum so keine Anmeldeskripte mehr ausgeführt werden, die auf der Netlogon liegen?

 

Danke im  Voraus.

 

-Zahni

[cj_berlin 1.393]

Sind sie in der Group Policy hinterlegt oder in den User-Objekten?

 

Und werden sie wirklich nicht ausgeführt oder ist "nur" das erwartete Ergebnis nicht da?

Kannst ihnen ja meinen Talk auf der BSides Berlin 2023 empfehlen 

[zahni 566]

Hi,

 

Aufruf BAT bzw. CMD beim User, Die Ausführung vom Script sieht man, bzw. eben nicht. Es wird synchron ausgeführt.

Ich überlege geradem ob das was mit RequireMutualAuthentication zu tun hat.

[cj_berlin 1.393]

...aber was sagen die NTLM-Logs dazu?

[zahni 566]

Keine Ahnung. Leider kann ich Security-Events nicht wirklich lesen, da für unser SIEM ein sehr ausführliches Logging konfiguriert wurde.

Eins nach dem Anderen. Eigentlich hat mein Kollege heute damit angefangen und ich muss was Anderes machen. Natürlich war ich sein Opfer...

 

Edit: Wahrscheinlich liegt  es daran. Jetzt muss mein Kollege herausfinden, warum das bei uns auf 0 steht. Da gab es bestimmt einen Grund für...

 

https://woshub.com/cant-access-domain-sysvol-netlogon-folders/

bearbeitet 22. Januar von zahni

[Weingeist 165]

Aus eigener Erfahrung liegt es zu 99% daran, dass nicht mit der FQDN zugegriffen wird sondern mit dem Namen. Ganz perfide sind Netzwerk-Druckerverbindungen und Netzlauwerkverknüpfungen, da musst erstmal ordentlich die Registry aufräumen und alles alte rauskicken sonst gibt das ein ziemliches Desaster. Da hat MS was gebastelt, das es meist irgendwie trotzdem geht, aber eben nicht zuverlässig und manchmal total lahm. Vor allem wenn erst mit Name und dann manche User mit FQDN verbinden. Einen TS kriegst da recht einfach in die Knie =)

--> Es hilft Printserver mit der FQDN auf den Desktop zu legen wenn die User selber verbinden sollen. Sonst versuchen sie es mit dem Namen und meist klappt es dann leider auch irgendwie, läuft aber nicht zuverlässig.

 

Bei Admin-Accounts bzw. Protected Users kann es vorkommen, dass dein Token abläuft. Das merkst aber auch anderswo. Wenn die Meldung kommt, kurz sperren und wieder anmelden.

 

Eine weitere Stolperstelle ist manchmal der Network Location Service (nlasvc) wenn die Location bei der Anmeldung nicht zu Verfügung steht, werden Scripts nicht zwingend ausgeführt. Ist aber irgendwie Random das Problem. Sprich sicherstellen, dass der beim Boot auch seine Domäne hat und nicht am drehen ist.

--> Netzlaufwerk Adapter Deaktivieren/Aktivieren ist die zuverlässigste Variante. Es müsste auch nen WMI Befehl geben, konnte mir bis jetzt aber niemand nennen.

 

Grundsätzlich ist es dann schmerzfrei ohne NTLM. Ich hab aktuell nur noch Probleme mit der Cert-Austellung, da Fehlkonfig. Da aktiviere ich bei einigen Fehlschlägen NTLM auf dem CertServer. Blockiere aber gleichzeitig die gängigen RPC-Schwaschstellen mit der Windows-Firewall (Printer, EFS etc.). ;)

 

Ahja, manche Scanner auf SMB sind auch mühsam, weil die Hersteller ewig hinterherhinken. Da kann man z.B. über nen separaten Server wo man dann die Verzeichnisse synchronisiert auf einen anderen Server wo dann auch die Leute zugriffen haben. NTLM mit Local-Accounts funktioniert nach wie vor.

bearbeitet 31. Januar von Weingeist

[MurdocX 965]

@zahni wie kommt Ihr vorwärts?

 

Interessant wäre ein kleines Follow-up über die Themen über die Ihr stolpert.

[zahni 566]

Ja es lag  RequireMutualAuthentication=0  Damit wird NTLM verwendet.