9
Gibt es Boardmittel um gespeicherte NTLM Hashes anzuzeigen und zu löschen?
Hallo zusammen,
mittels mimicatz kann man ja die gespeicherten NTLM-Hashes eines Systems auslesen. Ich möchte auf unseren Systemen gerne wissen, wie der Stand ist, da wir uns eigentlich von NTLM-Authentifizierung verabschieden wollen.
Gibt es eine Möglichkeit die Hashes ohne dieses Tool, also mit Windows-Boardmitteln auflisten zu lassen? Ich hätte gerne eine Liste mit dem Benutzernamen oder wenigstens eine Anzahl, den Hash selber brauche ich nicht.
Und kann man die gespeicherten Hashes mit boardmitteln löschen? Also analog zu klist purge für Kerberos-Tickets?
Mein Google ist kaputt
und ich habe nix dazu gefunden.
Grüße
lcer
mittels mimicatz kann man ja die gespeicherten NTLM-Hashes eines Systems auslesen. Ich möchte auf unseren Systemen gerne wissen, wie der Stand ist, da wir uns eigentlich von NTLM-Authentifizierung verabschieden wollen.
Gibt es eine Möglichkeit die Hashes ohne dieses Tool, also mit Windows-Boardmitteln auflisten zu lassen? Ich hätte gerne eine Liste mit dem Benutzernamen oder wenigstens eine Anzahl, den Hash selber brauche ich nicht.
Und kann man die gespeicherten Hashes mit boardmitteln löschen? Also analog zu klist purge für Kerberos-Tickets?
Mein Google ist kaputt
und ich habe nix dazu gefunden.Grüße
lcer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2796767789
Url: https://administrator.de/forum/gibt-es-boardmittel-um-gespeicherte-ntlm-hashes-anzuzeigen-und-zu-loeschen-2796767789.html
Ausgedruckt am: 15.04.2025 um 12:04 Uhr
9 Kommentare
Neuester Kommentar
richtung pentest tool vielleicht.. nessus plugin oder retina die "sollten" es eigentlich können. Sollten..
Vorsicht, hier drohen sich Sachen zu vermischen.
Was @colinardo verlinkt, sind cached credentials, das sind eben, wie auch im Link klargestellt, nicht die NTLM-Hashes der Kennwörter. Die NTLM-Hashes eines Kontos werden nach Abmeldung nicht aufbewahrt, müssen also, wenn man es aus Sicht des Angreifers sieht, während der Sitzung erbeutet werden.
Was Du also tun solltest, wenn Du mehr Sicherheit erlangen willst: finde raus, ob es Prozesse gibt, die NTLM brauchen. Das geht am einfachsten im Selbstversuch: nimm deinen AD-Nutzer in die Domänen-Gruppe "protected users" auf und melde dich neu an und starte all deine Serveranwendungen zum Test. Wenn alles funktioniert, braucht dein Nutzer kein NTLM.
Was @colinardo verlinkt, sind cached credentials, das sind eben, wie auch im Link klargestellt, nicht die NTLM-Hashes der Kennwörter. Die NTLM-Hashes eines Kontos werden nach Abmeldung nicht aufbewahrt, müssen also, wenn man es aus Sicht des Angreifers sieht, während der Sitzung erbeutet werden.
Was Du also tun solltest, wenn Du mehr Sicherheit erlangen willst: finde raus, ob es Prozesse gibt, die NTLM brauchen. Das geht am einfachsten im Selbstversuch: nimm deinen AD-Nutzer in die Domänen-Gruppe "protected users" auf und melde dich neu an und starte all deine Serveranwendungen zum Test. Wenn alles funktioniert, braucht dein Nutzer kein NTLM.
Natürlich gehört auch die Technik "Credential guard" als Schutzmaßnahme hier erwähnt. Damit werden diese Hashes verschlüsselt angelegt: https://www.windowspro.de/wolfgang-sommergut/credential-guard-windows-vo ...
Eingebaut und kostenlos. Allerdings musst du die Kompatibilität zu euren Serveranwendungen prüfen, manchmal erlebt man da Überraschungen.
Eingebaut und kostenlos. Allerdings musst du die Kompatibilität zu euren Serveranwendungen prüfen, manchmal erlebt man da Überraschungen.
Zitat von @DerWoWusste:
Natürlich gehört auch die Technik "Credential guard" als Schutzmaßnahme hier erwähnt. Damit werden diese Hashes verschlüsselt angelegt: https://www.windowspro.de/wolfgang-sommergut/credential-guard-windows-vo ...
Eingebaut und kostenlos. Allerdings musst du die Kompatibilität zu euren Serveranwendungen prüfen, manchmal erlebt man da Überraschungen.
Natürlich gehört auch die Technik "Credential guard" als Schutzmaßnahme hier erwähnt. Damit werden diese Hashes verschlüsselt angelegt: https://www.windowspro.de/wolfgang-sommergut/credential-guard-windows-vo ...
Eingebaut und kostenlos. Allerdings musst du die Kompatibilität zu euren Serveranwendungen prüfen, manchmal erlebt man da Überraschungen.
Da hätte ich mal eine Verständnisfrage, ich kriege ständig Meldungen von Synology Geräten welche AD Member sind das dort bei der anmeldung Fehler aufgetreten sind (Login verweigert 4625: Fehler beim Anmelden eines Kontos Authentifizierungspaket: NTLM) kann man dem ding nicht irgendwo konfigurieren das dies nicht mehr möglich ist?
Da mach lieber eine eigene Frage draus. Das könnte Synology-spezifisch sein.
Vermutlich kommen die Meldungen, sobald sich jemand bei einer Freigabe vorstellt, auf die er keine Berechtigung hat.
Vermutlich kommen die Meldungen, sobald sich jemand bei einer Freigabe vorstellt, auf die er keine Berechtigung hat.
ich glaube es kommt von einem präwindows das sich über den dc per NTLM am syno authen will und dann schickt der DC einen 4625 mit Absender Syno ins protokoll weil der das verweigert. Wäre das eine denkbar?
Stell doch bitte eine eigene Frage. Ich kann Dir nicht sagen, ob das denkbar ist. Erkläre in der eigenen Frage auch, was ein "präwindows" sein soll.
Zitat von @DerWoWusste:
Stell doch bitte eine eigene Frage. Ich kann Dir nicht sagen, ob das denkbar ist. Erkläre in der eigenen Frage auch, was ein "präwindows" sein soll.
Stell doch bitte eine eigene Frage. Ich kann Dir nicht sagen, ob das denkbar ist. Erkläre in der eigenen Frage auch, was ein "präwindows" sein soll.
Wie Prä Windows Option ändern?
