Tags: Authentifizierung, Sicherheit, Gruppenrichtlinien
Hacker versuchen häufig, Netze über Angriffe auf die Benutzerauthentifizierung zu kompromittieren. Dazu gehören der Diebstahl von Passwörtern, Phishing oder das Ausnutzen schwacher Protokolle. NTLM v1 und v2 sind seit Jahren im Einsatz und heutigen Bedrohungen nicht mehr gewachsen. Admins können mit Gruppenrichtlinien seine Nutzung überwachen und blockieren.
Das Problem bei NTLM ist eine veraltete Kryptografie zur Erstellung des Passwort-Hashes. In Kombination mit schwachen Kennwörtern wird NTLM zu einem leichten Angriffsziel.
Trotz der bekannten Schwächen und der Tatsache, dass Microsoft NTLM für die Active Directory Domain Services (AD DS) durch Kerberos ersetzt hat, verwenden viele Unternehmen dieses veraltete Protokoll aus Kompatibilitätsgründen noch immer.
Eine Herausforderung für viele Admins besteht darin, herauszufinden, welche Anwendungen, Server und Clients noch die NTLM-Authentifizierung benötigen.
NTLM mit Gruppenrichtlinie überwachen
Microsoft sieht eine Gruppenrichtlinie vor, mit der Administratoren die NTLM-Authentifizierung in AD-Domänen überprüfen können. Darüber hinaus zeigt sie NTLM-Authentifizierungsanfragen an Domänen-Controller. Die Einstellung heißt:
Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne überwachen ("Network Security: Restrict NTLM: Audit NTLM authentication in this domain").
Sie befindet sich unter Computerkonfiguration => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Sicherheitsoptionen. Standardmäßig ist sie nicht konfiguriert.
Obwohl die Gruppenrichtlinie "Beschränken" in ihrem Namen trägt, protokolliert sie die Authentifizierung zu den Domänen-Controllern nur, denen das GPO zugeordnet ist.
Nach der Aktivierung bietet die Richtlinie folgende Optionen:
- Für Domänenkonten an Domänenserver aktivieren: protokolliert Ereignisse zu NTLM-Authentifizierungen für Domänenkonten an DCs.
- Für Domänenkonten aktivieren: zeichnet Ereignisse für NTLM-Anmeldeversuche auf, für die Domänenkonten verwendet werden
- Für Domänenserver aktivieren: Protokollierung der NTLM-Authentifizierungen an allen Servern in der Domäne
- Alle aktivieren: Zeichnet NTLM-Pass-Through-Authentifizierungen von Servern und für die Konten auf
Die Ereignisse für NTLM werden auf dem betreffenden Computer im NTLMBlock-Log aufgezeichnet, das sich unter Anwendungs- und Dienstprotokolle => Microsoft => Windows => Security-NTLM befindet.
In PowerShell können Sie die Ereignisse mit diesem Befehl abrufen:
Get-WinEvent -LogName "Microsoft-Windows-NTLM/Operational"
Mit den Einträgen im oben genannten Log lassen sich Anwendungen und Server überprüfen, die an den Ereignissen beteiligt sind.
NTLMv1 über Anmeldeereignisse überwachen
Sie können auch herausfinden, welche Anwendungen NTLMv1 nutzen, indem Sie auf einem DC den Erfolg von Anmeldeereignissen überwachen. Die zuständige Einstellung findet sich unter Computerkonfiguration => Richtlinien => Windows-Einstellungen => Sicherheitseinstellungen => Lokale Richtlinien => Überwachungsrichtlinie.
Suchen Sie anschließend nach dem Event 4624. Diese Ereignis-ID enthält auch Informationen über NTLM.
Folgendes Beispiel zeigt die Informationen für ein Ereignis mit der ID 4624. Angaben zu NTLM finden sich im Abschnitt Package Name:
Detailed Authentication Information:
Logon Process: NtLmSsp
Authentication Package: NTLM
Transited Services: -
Package Name (NTLM only): NTLM V1
Key Length: 128
NTLM-Logs konsolidieren
Sie können die Ereignisweiterleitung verwenden, um alle relevanten NTLM-Protokolle an einem einzigen Ort zu sammeln. Nachfolgend finden Sie ein Beispiel für das Event-Forwarding für das Ereignis 4624.
NTLM-Authentifizierung in der Domäne blockieren
Nachdem man die Audit-Einträge überprüft und alle Anwendungen von NTLM zu sichereren Protokollen wie Kerberos migriert hat, besteht der nächste Schritt darin, NTLM in der gesamten Domäne zu blockieren. Diesem Zweck dient die Gruppenrichtlinie Netzwerksicherheit: Beschränken von NTLM: NTLM-Authentifizierung in dieser Domäne.
Ihre Optionen spiegeln jene für die Richtlinie zur Überwachung von NTLM wider. Diesmal werden jedoch nicht nur Ereignisse protokolliert, sondern DCs blockieren die Anmeldung.
Wie Sie sehen, warnt die Beschreibung, dass das "Ändern dieser Einstellung Auswirkungen auf die Kompatibilität mit Clients, Diensten und Anwendungen" haben kann. Wenn wir jedoch unsere Hausaufgaben gemacht und die richtigen Konsequenzen aus dem Audit-Protokoll gezogen haben, dann sollte die Aktivierung dieser Einstellung keine nachteiligen Auswirkungen haben.
Zusammenfassung
Unternehmen sollten unsichere Authentifizierungsprotokolle ausmustern und die Sicherheit von Passwörtern erhöhen, um Angreifern die Kompromittierung von Netzwerken nicht allzu einfach zu machen.
Leider ist NTLM immer noch in vielen Umgebungen zu finden. Mithilfe der Gruppenrichtlinien für das NTLM-Auditing können Administratoren jedoch die Quelle von NTLM-Anfragen ermitteln und nach Umstellung der betreffenden Systeme die Verwendung dieses Legacy-Protokolls in der gesamten Domäne per GPO verhindern.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Bildschirm sperren mit Gruppenrichtlinien, Dynamische Sperre in Windows 10
- Active Directory absichern: Passwortregeln, priviligierte Gruppen prüfen, Baselines vergleichen
- Kontosperrung über Gruppenrichtlinien konfigurieren
- Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen
- Benutzer am Login-Bildschirm anzeigen oder ausblenden mit Gruppenrichtlinien
Weitere Links