Fernzugriff auf Domänenrechner nach NTLM-Abschaltung

51u56t
Goto Top
Ich möchte (als interessierter Laie) in meiner kleinen Domäne mit einem Windows Server 2019 als Domaincontroller und mehreren Windows 10 Clients aus Sicherheitsgründen NTLM abschalten. Das Netz "hängt" über eine pfsense Firewall an einer Fritzbox. Bei der Anmeldung der lokalen Clients gibt es keine Probleme.

Ich greife nun regelmäßig von zu Hause per Wireguard VPN und RDP auf einen der Clients zu. Wireguard-Server ist ein Raspi im WAN-Bereich der Firewall, diese hat eine Portweiterleitung für den RDP-Port in den LAN-Bereich konfiguriert. Zum Verbindungsaufbau gebe ich die IP-Adresse des DOmänenrechners ein, was problemlos funktioniert. Nach Abschalten von NTLM würde der Domaincontroller allerdings diese Verbindung per IP-Adresse ablehnen, wie das Audit-Protokoll zeigt (bin derzeit erst im "Audit"-Mode -> Fehler 8004), weil Kerberos grindätzlich NetBIOS Namen voraussetzt und keine IP-Nummern akzeptiert.

Ich habe nun gelesen, dass man diese an sich ausgeschaltete Anmeldung per IP-Adresse seit Windows Server 2016 wieder zulassen kann. Hierzu muss man einen Dienstprinzipalnamen als IP Adresse konfigurieren (Setspn -s <service>/ip.address> <domain-user-account>) und dann dem Client per Registry Schlüssel mitteilen, dass er die IP-SPN Autenthifizierung versuchen soll (reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f). Hab das durchgeführt, aber trotzdem meldet das Fehlerprotokoll, dass nach Abschaltung von NTLM die Authentifizierung abgelehnt werden würde.

Deswegen meine Frage: ist es überhaupt möglich, sich von extern also mit einem Nicht-Domänen-Rechner per RDP/VPN nach Abschaltung von NTLM au einem Domänenrechner anzumelden? Gibt es einen Workaround? Was mache ich falsch?

Content-Key: 2652662929

Url: https://administrator.de/contentid/2652662929

Ausgedruckt am: 04.07.2022 um 11:07 Uhr

Mitglied: tikayevent
tikayevent 30.04.2022 um 23:01:51 Uhr
Goto Top
Kerberos benötigt den Hostname und damit ein funktionierendes DNS, nicht den NetBIOS-Namen.

Also sorg für eine funktionierende DNS-Auflösung, dann ist dein eines Problem weg.
Da aber ein non-Domainmember keine Kerberostickets beziehen kann, könntest du hier ins nächste Problem laufen. Müsstest du dann aber testen.
Mitglied: 51U56T
51U56T 01.05.2022 um 17:11:47 Uhr
Goto Top
Das Kerberos-Ticket soll ja eigentlich mein Domainrechner, auf den ich mich aufschalte, beziehen, nicht mein Rechner zu Hause, der nicht Domainmitglied ist. Aber vermutlich ist RDP zu schlau und möchte dann den Rechner zu Hause authentifizieren, was natürlich dann nicht gehen kann.

Mit der DNS-Auflösung: natürlich kann ich in meinen häuslichen DNS-Server (PiHole) einen DNS-Eintrag eintragen; dann kann ich zwar beim RDP-Client zu Hause den Hostnamen eingeben, der wird aber noch zu Hause in eine IP-Nummer übersetzt, so dass dies vermutlich auch nicht hilft.

Ich denke nur, was ich möchte, ist eigentlich nichts ungewöhnliches; deswegen müsste es vielleicht doch irgendeinen Workaround geben?

Evtl. könnte es natürlich auch mit VNC gehen?
Mitglied: DerWoWusste
DerWoWusste 01.05.2022 um 20:12:18 Uhr
Goto Top
Du bist Laie? Und da ist NTLM auf der Agenda? Ich kümmere mich auch gerade um das Thema, aber nur weil wir sonst schon ungefähr alles zugenagelt haben, was es an Sicherheitsthemen gibt. Ich würde mir als Laie andere Sorgen machen und zunächst mal sehen, ob der Schutzbedarf ausreichend definitiert ist - was schütze ich wogegen, mit welcher Priorität?
Mitglied: tikayevent
tikayevent 01.05.2022 um 22:04:01 Uhr
Goto Top
Mit der DNS-Auflösung: natürlich kann ich in meinen häuslichen DNS-Server (PiHole) einen DNS-Eintrag eintragen; dann kann ich zwar beim RDP-Client zu Hause den Hostnamen eingeben, der wird aber noch zu Hause in eine IP-Nummer übersetzt, so dass dies vermutlich auch nicht hilft.

Dann ist deine VPN-Lösung unbrauchbar oder falsch konfiguriert. Brauchbare VPN-Lösungen beherrschen DNS und können einen DNS-Server vom Server abrufen und für Anfragen nutzen. Gute Lösungen beherrschen Split-DNS und können über Teile des Hostnames den jeweilig zuständigen DNS-Server, lokal oder remote, auswählen und anfragen.
Mitglied: 51U56T
51U56T 13.05.2022 um 15:46:05 Uhr
Goto Top
Habe leider die DNS-Auflösung zu Hause per VPN über meinen Domaincontroller nicht hinbekommen. Man kann den DNS Server im Wireguard client einstellen, hab ich natürlich gemacht, funktioniert leider trotzdem nicht.
Mitglied: 51U56T
51U56T 13.05.2022 um 15:56:17 Uhr
Goto Top
@derwusstewo: Ich bin auch am Zweifeln, ob die Abschaltung von NTLM einen großen Sicherheitsgewinn bringt, bin aber leider rechtlich dazu verpflichtet. Immerhin scheint es auch für Profis keine einfache Lösung zu geben, obwohl ja eigentlich vermutlich eine häufiges Problem (Fernzugriff auf Windows-Domäne per VPN/RDP mit Kerberos-Authentifizierung).
Mitglied: DerWoWusste
DerWoWusste 13.05.2022 um 16:02:11 Uhr
Goto Top
bin aber leider rechtlich dazu verpflichtet.
Wodurch?
Und wie ist das Szenario, sitzt Du zu Hause und willst per RDP in eine gesicherte Umgebung?