NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien


    Tags: , ,

    NTLM-AngriffHacker versuchen häufig, Netze über Angriffe auf die Benutzer­authentifizierung zu kompro­mittieren. Dazu gehören der Diebstahl von Passwörtern, Phishing oder das Aus­nutzen schwacher Protokolle. NTLM v1 und v2 sind seit Jahr­en im Einsatz und heutigen Bedrohungen nicht mehr gewachsen. Admins können mit Gruppen­richtlinien seine Nutzung überwachen und blockieren.

    Das Problem bei NTLM ist eine veraltete Kryptografie zur Erstellung des Passwort-Hashes. In Kombination mit schwachen Kennwörtern wird NTLM zu einem leichten Angriffsziel.

    Trotz der bekannten Schwächen und der Tatsache, dass Microsoft NTLM für die Active Directory Domain Services (AD DS) durch Kerberos ersetzt hat, verwenden viele Unternehmen dieses veraltete Protokoll aus Kompatibilitätsgründen noch immer.

    Eine Herausforderung für viele Admins besteht darin, herauszufinden, welche Anwendungen, Server und Clients noch die NTLM-Authentifizierung benötigen.

    NTLM mit Gruppenrichtlinie überwachen

    Microsoft sieht eine Gruppenrichtlinie vor, mit der Administratoren die NTLM-Authentifizierung in AD-Domänen überprüfen können. Darüber hinaus zeigt sie NTLM-Authentifi­zierungs­anfragen an Domänen-Controller. Die Einstellung heißt:

    Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen ("Network Security: Restrict NTLM: Audit NTLM authentication in this domain").

    Sie befindet sich unter Computer­konfiguration => Windows-Einstellungen => Sicherheits­einstellungen => Lokale Richtlinien => Sicherheitsoptionen. Standardmäßig ist sie nicht konfiguriert.

    Richtlinie zur Überwachung der NTLM-Authentifizierung

    Obwohl die Gruppenrichtlinie "Beschränken" in ihrem Namen trägt, protokolliert sie die Authentifizierung zu den Domänen-Controllern nur, denen das GPO zugeordnet ist.

    Nach der Aktivierung bietet die Richtlinie folgende Optionen:

    • Für Domänenkonten an Domänenserver aktivieren: protokolliert Ereignisse zu NTLM-Authentifizierungen für Domänenkonten an DCs.
    • Für Domänenkonten aktivieren: zeichnet Ereignisse für NTLM-Anmeldeversuche auf, für die Domänenkonten verwendet werden
    • Für Domänenserver aktivieren: Protokollierung der NTLM-Authentifizierungen an allen Servern in der Domäne
    • Alle aktivieren: Zeichnet NTLM-Pass-Through-Authentifizierungen von Servern und für die Konten auf

    Die Ereignisse für NTLM werden auf dem betreffenden Computer im NTLMBlock-Log aufgezeichnet, das sich unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Security-NTLM befindet.

    In PowerShell können Sie die Ereignisse mit diesem Befehl abrufen:

    Get-WinEvent -LogName "Microsoft-Windows-NTLM/Operational"

    Mit den Einträgen im oben genannten Log lassen sich Anwendungen und Server überprüfen, die an den Ereignissen beteiligt sind.

    NTLMv1 über Anmeldeereignisse überwachen

    Sie können auch herausfinden, welche Anwendungen NTLMv1 nutzen, indem Sie auf einem DC den Erfolg von Anmelde­ereignissen überwachen. Die zuständige Einstellung findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Überwachungs­richtlinie.

    Suchen Sie anschließend nach dem Event 4624. Diese Ereignis-ID enthält auch Informationen über NTLM.

     Anmeldeerfolg überwachen mittels Gruppenrichtlinie

    Folgendes Beispiel zeigt die Informationen für ein Ereignis mit der ID 4624. Angaben zu NTLM finden sich im Abschnitt Package Name:

    Detailed Authentication Information:
    Logon Process: NtLmSsp
    Authentication Package: NTLM
    Transited Services: -
    Package Name (NTLM only): NTLM V1
    Key Length: 128

    NTLM-Logs konsolidieren

    Sie können die Ereignis­weiterleitung verwenden, um alle relevanten NTLM-Protokolle an einem einzigen Ort zu sammeln. Nachfolgend finden Sie ein Beispiel für das Event-Forwarding für das Ereignis 4624.

    Event-Weiterleitung, um Logs auf einem Server zu konsolidieren

    NTLM-Authentifizierung in der Domäne blockieren

    Nachdem man die Audit-Einträge überprüft und alle Anwendungen von NTLM zu sichereren Protokollen wie Kerberos migriert hat, besteht der nächste Schritt darin, NTLM in der gesamten Domäne zu blockieren. Diesem Zweck dient die Gruppenrichtlinie Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne.

    Ihre Optionen spiegeln jene für die Richtlinie zur Überwachung von NTLM wider. Diesmal werden jedoch nicht nur Ereignisse protokolliert, sondern DCs blockieren die Anmeldung.

     Verwendung von NTLM in der Domäne blockieren

    Wie Sie sehen, warnt die Beschreibung, dass das "Ändern dieser Einstellung Auswirkungen auf die Kompatibilität mit Clients, Diensten und Anwendungen" haben kann. Wenn wir jedoch unsere Hausaufgaben gemacht und die richtigen Konsequenzen aus dem Audit-Protokoll gezogen haben, dann sollte die Aktivierung dieser Einstellung keine nachteiligen Auswirkungen haben.

    Zusammenfassung

    Unternehmen sollten unsichere Authenti­fizierungs­protokolle ausmustern und die Sicherheit von Passwörtern erhöhen, um Angreifern die Kompromittierung von Netzwerken nicht allzu einfach zu machen.

    Leider ist NTLM immer noch in vielen Umgebungen zu finden. Mithilfe der Gruppen­richtlinien für das NTLM-Auditing können Administratoren jedoch die Quelle von NTLM-Anfragen ermitteln und nach Umstellung der betreffenden Systeme die Verwendung dieses Legacy-Protokolls in der gesamten Domäne per GPO verhindern.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.

    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links