Besteht ein SicherheitsUnterschied zwischen WindowsClients und SambaClients bezüglich NTLM un Kerberos
Hallo zusammen,
zum Hintergrund - unser Backup-NAS ist nicht in der Windows AD-Domäne, die Anmeldung der auf den Shares erfolgt über NTLM. Ich versuche gerade, die Sichereheitsrisiken einzuschätzen.
zur Frage:
in Domänen-Netzwerken erfolgt die Authentifizierung über Kerberos. Das Verwenden von NTLM und NTLMv2 birgt Sicherheitsrisiken wegen der gespeicherten Passwort-Hashes. Besteht hier ein Unterschied bei Clients mit Linux mit Samba gegenüber Windows-Clients inbesondere auf das Auslesen der NTLM-Hashes?
Die Alternative wäre, das NAS in die Domäne aufzunehmen und Kerberos zu verwenden - dabei würde man auf NTLM verzichten, würde aber andere Risiken eingehen (direkter Zugriff auf Backups bei Kompromittierung der DCs). Das soll hier aber nicht Thema sein.
Grüße
lcer
zum Hintergrund - unser Backup-NAS ist nicht in der Windows AD-Domäne, die Anmeldung der auf den Shares erfolgt über NTLM. Ich versuche gerade, die Sichereheitsrisiken einzuschätzen.
zur Frage:
in Domänen-Netzwerken erfolgt die Authentifizierung über Kerberos. Das Verwenden von NTLM und NTLMv2 birgt Sicherheitsrisiken wegen der gespeicherten Passwort-Hashes. Besteht hier ein Unterschied bei Clients mit Linux mit Samba gegenüber Windows-Clients inbesondere auf das Auslesen der NTLM-Hashes?
Die Alternative wäre, das NAS in die Domäne aufzunehmen und Kerberos zu verwenden - dabei würde man auf NTLM verzichten, würde aber andere Risiken eingehen (direkter Zugriff auf Backups bei Kompromittierung der DCs). Das soll hier aber nicht Thema sein.
Grüße
lcer
Please also mark the comments that contributed to the solution of the article
Content-Key: 622969
Url: https://administrator.de/contentid/622969
Printed on: April 19, 2024 at 10:04 o'clock
5 Comments
Latest comment
Zitat von @lcer00:
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.
Dann ist Dein Rechner put.
Aber ein NTLM-Client mach keine Unterschiede zwischen Samba und Window-Server.
lks
Also mir wäre neu das der "smbclient" (das commandozeilentool für linux) was cachen würde, d.h. der Hash ist vermutlich im RAM bei der Ausführung des programms, sonst aber nicht auf der platte - aber ich lass mal ein strace laufen bei Gelegenheit, schaun mer mal.
Wegen NTLM vom Windows Client: Soweit ich weiß wurde der Credential Guard noch nicht geknackt - d.h. das aktivieren sollte ein wirksamer schutz sein.
Wegen NTLM vom Windows Client: Soweit ich weiß wurde der Credential Guard noch nicht geknackt - d.h. das aktivieren sollte ein wirksamer schutz sein.