Gibt es Boardmittel um gespeicherte NTLM Hashes anzuzeigen und zu löschen?

lcer00
Goto Top
Hallo zusammen,

mittels mimicatz kann man ja die gespeicherten NTLM-Hashes eines Systems auslesen. Ich möchte auf unseren Systemen gerne wissen, wie der Stand ist, da wir uns eigentlich von NTLM-Authentifizierung verabschieden wollen.

Gibt es eine Möglichkeit die Hashes ohne dieses Tool, also mit Windows-Boardmitteln auflisten zu lassen? Ich hätte gerne eine Liste mit dem Benutzernamen oder wenigstens eine Anzahl, den Hash selber brauche ich nicht.

Und kann man die gespeicherten Hashes mit boardmitteln löschen? Also analog zu klist purge für Kerberos-Tickets?

Mein Google ist kaputt :) face-smile und ich habe nix dazu gefunden.

Grüße

lcer

Content-Key: 2796767789

Url: https://administrator.de/contentid/2796767789

Ausgedruckt am: 27.06.2022 um 21:06 Uhr

Mitglied: user217
user217 16.05.2022 um 09:58:39 Uhr
Goto Top
richtung pentest tool vielleicht.. nessus plugin oder retina die "sollten" es eigentlich können. Sollten..
Mitglied: colinardo
Lösung colinardo 16.05.2022 aktualisiert um 10:56:09 Uhr
Goto Top
Mitglied: DerWoWusste
Lösung DerWoWusste 16.05.2022 um 14:30:21 Uhr
Goto Top
Vorsicht, hier drohen sich Sachen zu vermischen.

Was @colinardo verlinkt, sind cached credentials, das sind eben, wie auch im Link klargestellt, nicht die NTLM-Hashes der Kennwörter. Die NTLM-Hashes eines Kontos werden nach Abmeldung nicht aufbewahrt, müssen also, wenn man es aus Sicht des Angreifers sieht, während der Sitzung erbeutet werden.

Was Du also tun solltest, wenn Du mehr Sicherheit erlangen willst: finde raus, ob es Prozesse gibt, die NTLM brauchen. Das geht am einfachsten im Selbstversuch: nimm deinen AD-Nutzer in die Domänen-Gruppe "protected users" auf und melde dich neu an und starte all deine Serveranwendungen zum Test. Wenn alles funktioniert, braucht dein Nutzer kein NTLM.
Mitglied: DerWoWusste
Lösung DerWoWusste 16.05.2022 um 21:35:14 Uhr
Goto Top
Natürlich gehört auch die Technik "Credential guard" als Schutzmaßnahme hier erwähnt. Damit werden diese Hashes verschlüsselt angelegt: https://www.windowspro.de/wolfgang-sommergut/credential-guard-windows-vo ...
Eingebaut und kostenlos. Allerdings musst du die Kompatibilität zu euren Serveranwendungen prüfen, manchmal erlebt man da Überraschungen.
Mitglied: user217
user217 18.05.2022 um 15:14:52 Uhr
Goto Top
Zitat von @DerWoWusste:

Natürlich gehört auch die Technik "Credential guard" als Schutzmaßnahme hier erwähnt. Damit werden diese Hashes verschlüsselt angelegt: https://www.windowspro.de/wolfgang-sommergut/credential-guard-windows-vo ...
Eingebaut und kostenlos. Allerdings musst du die Kompatibilität zu euren Serveranwendungen prüfen, manchmal erlebt man da Überraschungen.

Da hätte ich mal eine Verständnisfrage, ich kriege ständig Meldungen von Synology Geräten welche AD Member sind das dort bei der anmeldung Fehler aufgetreten sind (Login verweigert 4625: Fehler beim Anmelden eines Kontos Authentifizierungspaket: NTLM) kann man dem ding nicht irgendwo konfigurieren das dies nicht mehr möglich ist?
Mitglied: DerWoWusste
DerWoWusste 18.05.2022 um 15:28:19 Uhr
Goto Top
Da mach lieber eine eigene Frage draus. Das könnte Synology-spezifisch sein.
Vermutlich kommen die Meldungen, sobald sich jemand bei einer Freigabe vorstellt, auf die er keine Berechtigung hat.
Mitglied: user217
user217 18.05.2022 um 15:33:36 Uhr
Goto Top
ich glaube es kommt von einem präwindows das sich über den dc per NTLM am syno authen will und dann schickt der DC einen 4625 mit Absender Syno ins protokoll weil der das verweigert. Wäre das eine denkbar?
Mitglied: DerWoWusste
DerWoWusste 18.05.2022 um 15:54:06 Uhr
Goto Top
Stell doch bitte eine eigene Frage. Ich kann Dir nicht sagen, ob das denkbar ist. Erkläre in der eigenen Frage auch, was ein "präwindows" sein soll.
Mitglied: user217
user217 19.05.2022 um 08:56:33 Uhr
Goto Top
Zitat von @DerWoWusste:

Stell doch bitte eine eigene Frage. Ich kann Dir nicht sagen, ob das denkbar ist. Erkläre in der eigenen Frage auch, was ein "präwindows" sein soll.

https://administrator.de/forum/wie-prae-windows-option-aendern-75052.htm ...