5
Besteht ein SicherheitsUnterschied zwischen WindowsClients und SambaClients bezüglich NTLM un Kerberos
Hallo zusammen,
zum Hintergrund - unser Backup-NAS ist nicht in der Windows AD-Domäne, die Anmeldung der auf den Shares erfolgt über NTLM. Ich versuche gerade, die Sichereheitsrisiken einzuschätzen.
zur Frage:
in Domänen-Netzwerken erfolgt die Authentifizierung über Kerberos. Das Verwenden von NTLM und NTLMv2 birgt Sicherheitsrisiken wegen der gespeicherten Passwort-Hashes. Besteht hier ein Unterschied bei Clients mit Linux mit Samba gegenüber Windows-Clients inbesondere auf das Auslesen der NTLM-Hashes?
Die Alternative wäre, das NAS in die Domäne aufzunehmen und Kerberos zu verwenden - dabei würde man auf NTLM verzichten, würde aber andere Risiken eingehen (direkter Zugriff auf Backups bei Kompromittierung der DCs). Das soll hier aber nicht Thema sein.
Grüße
lcer
zum Hintergrund - unser Backup-NAS ist nicht in der Windows AD-Domäne, die Anmeldung der auf den Shares erfolgt über NTLM. Ich versuche gerade, die Sichereheitsrisiken einzuschätzen.
zur Frage:
in Domänen-Netzwerken erfolgt die Authentifizierung über Kerberos. Das Verwenden von NTLM und NTLMv2 birgt Sicherheitsrisiken wegen der gespeicherten Passwort-Hashes. Besteht hier ein Unterschied bei Clients mit Linux mit Samba gegenüber Windows-Clients inbesondere auf das Auslesen der NTLM-Hashes?
Die Alternative wäre, das NAS in die Domäne aufzunehmen und Kerberos zu verwenden - dabei würde man auf NTLM verzichten, würde aber andere Risiken eingehen (direkter Zugriff auf Backups bei Kompromittierung der DCs). Das soll hier aber nicht Thema sein.
Grüße
lcer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 622969
Url: https://administrator.de/forum/besteht-ein-sicherheitsunterschied-zwischen-windowsclients-und-sambaclients-bezueglich-ntlm-un-kerberos-622969.html
Ausgedruckt am: 13.03.2025 um 15:03 Uhr
5 Kommentare
Neuester Kommentar
Und fürs "d" gibts den Bearbeiten Knopf. 
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.
Grüße
lcer
Grüße
lcer
Zitat von @lcer00:
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.
Dann ist Dein Rechner put.
Aber ein NTLM-Client mach keine Unterschiede zwischen Samba und Window-Server.
lks
Zitat von @Lochkartenstanzer:
Dann ist Dein Rechner put.
Zitat von @lcer00:
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.
Dann ist Dein Rechner put.
mein Handy dann aber auch ...
Aber ein NTLM-Client mach keine Unterschiede zwischen Samba und Window-Server.
sonst würde ja das Protokoll nicht funktionieren. Nein das meinte ich nicht, habe hier wohl auch mal wieder zu schnell getippt - hier bezüglich Client/Server Terminologie. Ich will wissen, ob der Service auf dem PC - egal ob als smb server oder smb client fungierend - unterschiedlich gut angreifbar ist, insbesondere bei Verwendung von NTLM(v2) anstelle von Kerberos.Grüße
lcer
Also mir wäre neu das der "smbclient" (das commandozeilentool für linux) was cachen würde, d.h. der Hash ist vermutlich im RAM bei der Ausführung des programms, sonst aber nicht auf der platte - aber ich lass mal ein strace laufen bei Gelegenheit, schaun mer mal.
Wegen NTLM vom Windows Client: Soweit ich weiß wurde der Credential Guard noch nicht geknackt - d.h. das aktivieren sollte ein wirksamer schutz sein.
Wegen NTLM vom Windows Client: Soweit ich weiß wurde der Credential Guard noch nicht geknackt - d.h. das aktivieren sollte ein wirksamer schutz sein.
