watislos
Goto Top

Alte DC-Tickets Verschlüsselungen abschalten

Schönen Sonntag allen Zusammen,

ich würde gerne überprüfen ob noch das unsichere Verbindungsprotokoll RC4_HMAC_MD5 in der Domäne zum Einsatz kommt.

Über die EventID: 4769 kann man das über die Ticketverschlüsselungstyp selber herausfinden, soweit so gut.

Nun habe ich über die Gruppenrichtlinien die Art der Verschlüsselung abgeändert auf AES und seitdem kann ich mich am DC nicht mehr Anmelden... nehme ich diese Einstellung raus bzw. deaktiviere diese Gruppenrichtlinie dann geht es wieder.

Was kann hier das Problem sein?

Danke
aes

Content-ID: 5008347291

Url: https://administrator.de/forum/alte-dc-tickets-verschluesselungen-abschalten-5008347291.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

4863114660
Lösung 4863114660 18.12.2022, aktualisiert am 19.12.2022 um 09:47:33 Uhr
Goto Top
und seitdem kann ich mich am DC nicht mehr Anmelden.

Haken hier bei den gew.Methoden aktivieren

rtaimage

Gruß s.
DerWoWusste
DerWoWusste 18.12.2022 um 15:00:55 Uhr
Goto Top
Lass mich raten, du hast die Dezemberupdates an denDCs noch nicht installiert, oder? Daran liegt es, die Novemberupdates brachten genau diesen Bug mit sich.
2423392070
2423392070 18.12.2022 um 15:18:40 Uhr
Goto Top
Was heißt nicht mehr am DC anmelden und was landet dabei im Log?
watIsLos
watIsLos 18.12.2022 um 15:23:34 Uhr
Goto Top
Zitat von @DerWoWusste:

Lass mich raten, du hast die Dezemberupdates an denDCs noch nicht installiert, oder? Daran liegt es, die Novemberupdates brachten genau diesen Bug mit sich.

Doch ist installiert!
Schlepper hatte die Lösung.
DerWoWusste
DerWoWusste 18.12.2022 um 15:27:22 Uhr
Goto Top
Und worin besteht nun die Lösung? Was du über deine GPO forderst, wird davon nicht berührt/uberstimmt. Die GPO wirkt auf den Computer, die von Schlepper abgebildeten Haken auf den Nutzer, aber was die GPO setzt, hat Vorrang.
watIsLos
watIsLos 18.12.2022 um 15:30:47 Uhr
Goto Top
Seitdem ich die Haken gesetzt habe funktioniert es, das ist die Hauptsache.


Zitat von @DerWoWusste:

Und worin besteht nun die Lösung? Was du über deine GPO forderst, wird davon nicht berührt/uberstimmt. Die GPO wirkt auf den Computer, die von Schlepper abgebildeten Haken auf den Nutzer, aber was die GPO setzt, hat Vorrang.
nEmEsIs
nEmEsIs 18.12.2022 aktualisiert um 16:51:04 Uhr
Goto Top
Hi

wie meldest du dich am DC an ?
Via RDP ? Wenn ja mal FQDN probieren.

Weiter dem Konto krbtgt die AES128 und AES256 Haken setzten- siehe Screenshot oben.

Dann im Abstand von mehr als 10 Stunden dem Konto zweimal ein neues Passwort verpassen.
Das Passwort Ist egal, das wird bei dem Konto random erzeugt.
Ohne den Passwortreset ist ein AES 128 bzw 256 sprechen so nicht möglich im Kerberos.

Dann über die Ereignisanzeige schauen was, noch alles RC4 spricht. Das eliminieren.
Dann in der Policy auf AES128 / 256 und Future hochsetzen.

Mit freundlichen Grüßen Nemesis
4863114660
4863114660 18.12.2022 aktualisiert um 16:17:24 Uhr
Goto Top
Zitat von @DerWoWusste:
Die GPO wirkt auf den Computer, die von Schlepper abgebildeten Haken auf den Nutzer, aber was die GPO setzt, hat Vorrang.
Die GPO sagt das nur diese Verfahren für Kerberos erlaubt sind. Wenn aber der Account nicht für das Verfahren aktiviert ist wirst du dich trotzdem damit nicht authentifieren können ... Das sind eben zwei unterschiedliche paar Schuhe.
DerWoWusste
DerWoWusste 18.12.2022 aktualisiert um 21:05:31 Uhr
Goto Top
@4863114660
Das ist richtig. Nur erreicht er sein eigentliches Ziel so nicht. Er zieht sich an den Haaren aus dem Sumpf, aber es bleibt unsicher konfiguriert.
lcer00
lcer00 19.12.2022 um 07:27:56 Uhr
Goto Top
Hallo,
Zitat von @watIsLos:
Nun habe ich über die Gruppenrichtlinien die Art der Verschlüsselung abgeändert auf AES und seitdem kann ich mich am DC nicht mehr Anmelden... nehme ich diese Einstellung raus bzw. deaktiviere diese Gruppenrichtlinie dann geht es wieder.
Kurze Frage - wie korrigiert man eine GPO, wenn man sich nicht am DC anmelden kann?

Grüße

lcer
4863114660
4863114660 19.12.2022 aktualisiert um 07:57:00 Uhr
Goto Top
Zitat von @DerWoWusste:

@4863114660
Das ist richtig. Nur erreicht er sein eigentliches Ziel so nicht.
Wieso nicht? Genau das, dass der User sich dann auch per Kerberos mit AES anmelden kann wenn alle unsicheren Verfahren deaktiviert sind, mehr war laut seinem Post nicht gefordert.
Er zieht sich an den Haaren aus dem Sumpf, aber es bleibt unsicher konfiguriert.
Was ist unsicher an einer restriktiveren Verschlüsselungs-Policy wenn man die Nutzung der alten Verfahren im Vorfeld ausschließen kann ??
watIsLos
watIsLos 19.12.2022 um 09:28:35 Uhr
Goto Top
In dem man es vorher z.B. über eine VM mit DC Kopie testet.
Also in dem Fall habe ich zwei DC's im Hyper-V und teste vorher das ganze!
Das heißt auf dem einen habe ich mich damit ausgesperrt, konnte es aber dann über den anderen DC noch korrigieren.


Zitat von @lcer00:

Hallo,
Zitat von @watIsLos:
Nun habe ich über die Gruppenrichtlinien die Art der Verschlüsselung abgeändert auf AES und seitdem kann ich mich am DC nicht mehr Anmelden... nehme ich diese Einstellung raus bzw. deaktiviere diese Gruppenrichtlinie dann geht es wieder.
Kurze Frage - wie korrigiert man eine GPO, wenn man sich nicht am DC anmelden kann?

Grüße

lcer
DerWoWusste
DerWoWusste 19.12.2022 um 09:40:57 Uhr
Goto Top
Hi @4863114660.
Er hat die Haken doch gesetzt. Er schreibt
Seitdem ich die Haken gesetzt habe funktioniert es, das ist die Hauptsache.
Sprich: auch der oberste, der DES/RC4 ermöglicht, ist gesetzt.
4863114660
4863114660 19.12.2022 aktualisiert um 09:44:59 Uhr
Goto Top
Zitat von @DerWoWusste:

Hi @4863114660.
Er hat die Haken doch gesetzt. Er schreibt
Seitdem ich die Haken gesetzt habe funktioniert es, das ist die Hauptsache.

Nein er hat den Haken im User-Account für AES gesetzt 🙂
DerWoWusste
DerWoWusste 19.12.2022 um 09:45:58 Uhr
Goto Top
Das ist deine Vermutung. Wenn Du 3 Haken in deiner Zeichnung umrandest, denke ich, er wird auch diese 3 gesetzt haben. Aber das muss @watIsLos aufklären.
4863114660
4863114660 19.12.2022 aktualisiert um 09:49:08 Uhr
Goto Top
Naja er wollte ja AES aktivieren und RC4 loswerden, da liegt das nahe das er den Haken für AES im User-Account gesetzt hat und nicht bei RC4 in der GPO.
watIsLos
watIsLos 19.12.2022 um 09:48:40 Uhr
Goto Top
Das "USE Kerberos DES encryption..." habe ich nicht gesetzt, nur die zwei AES Einträge im Benutzer.


Zitat von @DerWoWusste:

Hi @4863114660.
Er hat die Haken doch gesetzt. Er schreibt
Seitdem ich die Haken gesetzt habe funktioniert es, das ist die Hauptsache.
Sprich: auch der oberste, der DES/RC4 ermöglicht, ist gesetzt.
DerWoWusste
DerWoWusste 19.12.2022 um 10:05:16 Uhr
Goto Top
Dann ist ja gut.
Tja, warum macht es dann einen Unterschied, ob dort gesetzt oder per GPO gesetzt. Hier macht es keinen Unterschied.
watIsLos
watIsLos 19.12.2022 um 10:15:47 Uhr
Goto Top
Das kann ich dir leider nicht sagen.
Ich habe mich schon vor vielen Jahren aufgehört zu Fragen wieso das bei Windows so ist... ich werde immer wieder vom neuen Überrascht...


Gruß

psyduck

Zitat von @DerWoWusste:

Dann ist ja gut.
Tja, warum macht es dann einen Unterschied, ob dort gesetzt oder per GPO gesetzt. Hier macht es keinen Unterschied.
lcer00
lcer00 19.12.2022 aktualisiert um 10:57:15 Uhr
Goto Top
Hallo,

vielleicht hilft folgendes beim Verstehen der Häkchen:

Die Häkchen modifizieren das Attribut "msDS-SupportedEncryptionTypes" des Benutzers. Diese sind hier dokumentiert: https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-kile/6c ... und https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-kile/b3 ...

Die GPO ändert das Benutzer-Attribut nicht sondern legt für den Computer fest, was erlaubt ist: https://learn.microsoft.com/de-de/windows/security/threat-protection/sec ...

Somit kann es zu Inkompatibiltäten zwischen Benutzer und Computer kommen.

In dem man es vorher z.B. über eine VM mit DC Kopie testet.
Also in dem Fall habe ich zwei DC's im Hyper-V und teste vorher das ganze!
Das heißt auf dem einen habe ich mich damit ausgesperrt, konnte es aber dann über den anderen DC noch korrigieren.
Nein, so macht man das nicht. face-smile Besser man schränkt die Gültigkeit der GPO zunächst auf einzelne Rechner (z.B. DC1) und Benutzer (z.B. TestAdmin) ein und sorgt dafür, dass man an einem Rechner mit einem Benutzer (AndererAdmin) angemeldet ist, auf den die GPO nicht greift.

Grundsätzlich sollte man sich auch angewöhnen, die GPO zunächst zuerst zu erstellen und bevor man irgendetwas in diese GPO hineinschreibt, diese Deaktivieren. Dann alles fertigbasteln und im erst, nachdem man die Einstellungen überprüft hat - aktivieren.

Grüße

lcer
watIsLos
watIsLos 19.12.2022 um 11:16:11 Uhr
Goto Top
Hi Icer,

ich teste das Ganze lieber mit Kopien, bevor ich das Ganze produktiv aktiviere, trotzdem ist deine Vorgehensweise richtig.

Was ist denn jetzt der richtige Weg um die veraltete Ticketverschlüsselung durch AES zu ersetzten?!
Im Grunde muss doch sowohl über GPO als auch über Benutzer AES aktiviert werden, danach sollte doch die Kompatibilität gewährleistet sein?!


Zitat von @lcer00:

Hallo,

vielleicht hilft folgendes beim Verstehen der Häkchen:

Die Häkchen modifizieren das Attribut "msDS-SupportedEncryptionTypes" des Benutzers. Diese sind hier dokumentiert: https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-kile/6c ... und https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-kile/b3 ...

Die GPO ändert das Benutzer-Attribut nicht sondern legt für den Computer fest, was erlaubt ist: https://learn.microsoft.com/de-de/windows/security/threat-protection/sec ...

Somit kann es zu Inkompatibiltäten zwischen Benutzer und Computer kommen.

In dem man es vorher z.B. über eine VM mit DC Kopie testet.
Also in dem Fall habe ich zwei DC's im Hyper-V und teste vorher das ganze!
Das heißt auf dem einen habe ich mich damit ausgesperrt, konnte es aber dann über den anderen DC noch korrigieren.
Nein, so macht man das nicht. face-smile Besser man schränkt die Gültigkeit der GPO zunächst auf einzelne Rechner (z.B. DC1) und Benutzer (z.B. TestAdmin) ein und sorgt dafür, dass man an einem Rechner mit einem Benutzer (AndererAdmin) angemeldet ist, auf den die GPO nicht greift.

Grundsätzlich sollte man sich auch angewöhnen, die GPO zunächst zuerst zu erstellen und bevor man irgendetwas in diese GPO hineinschreibt, diese Deaktivieren. Dann alles fertigbasteln und im erst, nachdem man die Einstellungen überprüft hat - aktivieren.

Grüße

lcer
4863114660
Lösung 4863114660 19.12.2022 aktualisiert um 12:47:32 Uhr
Goto Top
Zitat von @watIsLos:
Im Grunde muss doch sowohl über GPO als auch über Benutzer AES aktiviert werden, danach sollte doch die Kompatibilität gewährleistet sein?!
Ja. Kompatibel aber eben nur noch mit AES128/AES256 Kerberos Tickets wenn du beide Häkchen im User-Account setzt.
Wenn die Häkchen im User Account nicht gesetzt sind gilt RC4_HMAC_MD5 als Default
Sobald beide Häkchen gesetzt sind gilt für diesen User nur noch AES 128 und AES 256 für Kerberos Tickets (Wert 0x18 = 24 im Attribut)
Die verschiedenen Kombinationen die du im Attribut setzen kannst findest du hier
Decrypting the Selection of Supported Kerberos Encryption Types

Beachte dort auch den wichtigen Hinweis für den KRBTGT Account
If you enable AES on the KRBTGT account and find your TGTs are still issued with RC4 encryption you may need to manually reset the password of the KRBTGT account. That is due to the fact that the KRBTGT password does not automatically rotate. As a result, the current password may have been set back in the 2003 days when AES key generation was not supported. If you need to update your password I recommend you leverage this script. In fact, it is recommended to reset it a second time after waiting a minimum of 10 hours (default TGT lifetime) so there is an AES key in the password history attribute.

Wenn Trusted Domains zum Einsatz kommen bitte auch diesen Artikel lesen bevor man RC4 deaktiviert:
"Unsupported etype" error when accessing a resource in a trusted domain