Logging von NTLM-Nutzung

derwowusste
Goto Top
Moin Kollegen.

Ich versuche, einen Überblick darüber zu gewinnen, was im Windows-Netzwerk noch NTLM benötigt.

Habe dazu NTLM-Logging bei den Windows10(21H2)-Clients aktiviert:
https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
Restrict NTLM: Outgoing NTLM traffic to remote servers
auf
Audit All
und an das resultierende Event einen Trigger geknüpft, der mir eine Mail schreibt a la
NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked.
PID of client process: 6232
Name of client process: C:\Program Files\Mozilla Firefox\firefox.exe LUID of client process: 0xBB148 User identity of client process: maxmuster Domain name of user identity of client process: mydom

Funktioniert soweit, ich habe auch schon 2 Anwendungen/Anwendungsfälle ausmachen können. Eine 3. Anwendung jedoch, die ebenso dafür bekannt ist, kein Kerberos zu können und NTLM zu nutzen, taucht im Log nicht auf, was mich sehr wundert.
Ich habe daraufhin einen Nutzer in die Domänengrupe "protected users" aufgenommen, die ja bekanntlich NTLM gar nicht erlaubt, diesen neu angemeldet und wie erwartet startet diese Anwendung nicht mehr, sprich: sie nutzt in der Tat NTLM.

Aber warum wird das nicht geloggt? Ist das mal wieder alles halbgarer Murks, den Microsoft da kocht?
Gibt es andere Wege das clientseitig zu loggen?
Ich will es nicht am DC loggen, da ich dann nicht die Prozessnamen erfahre.

Content-Key: 2500890038

Url: https://administrator.de/contentid/2500890038

Ausgedruckt am: 04.07.2022 um 13:07 Uhr

Mitglied: clSchak
clSchak 14.04.2022 um 17:00:52 Uhr
Goto Top
Hi

unser Logging unterscheidet bei NTLM am DC immer zwischen AD Login und dem Local-Login:

  • Ereignisanzeige\windows-protokolle\Sicherheit
  • Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM

Ich denke ja, dass du das bereits geprüft hast, es finden sich ja in beiden Logs NTLM Meldungen wieder, aber vielleicht hilft es dir ja face-smile

Gruß
@clSchak
Mitglied: DerWoWusste
DerWoWusste 15.04.2022 aktualisiert um 13:08:43 Uhr
Goto Top
Hi.

Aber ich sage doch: am DC bringt mir das Logging nichts, da dort nicht geloggt werden kann, wie die Client-Anwendung heißt.
Mitglied: clSchak
clSchak 19.04.2022 um 11:05:04 Uhr
Goto Top
mit den von dir genannten Einstellungen schreibt er ja in die lokalen Logs rein, habe es gerade ausprobiert auf meinem Client.

Mit den o.g. Settings schreibt er in "Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM"

2022-04-19 10_55_12-ereignisanzeige
Mitglied: DerWoWusste
DerWoWusste 19.04.2022 um 11:11:42 Uhr
Goto Top
Ich weiß. Natürlich macht er das in die lokalen Logs. Er erfasst bloß offenbar nicht alle Programme und ist deshalb nutzlos weil unzuverlässig.

Deshalb frage ich nach Alternativen (und nein, auf Ebenen wie wireshark möchte ich deshalb nicht einsteigen), die mir einfach das halten, was dieses Logging von Windows verspricht.
Mitglied: DerWoWusste
Lösung DerWoWusste 05.05.2022 um 09:31:58 Uhr
Goto Top
So, ich habe es aufgegeben. Dieses Programm (Postman, https://www.postman.com/ ) macht da wohl irgendwas außergewöhnliches, denn nicht einmal auf dem DC wird die NTLM-Nutzung geloggt (lässt sich aber wie gesagt lokal nachweisen, auch mit Wireshark).

Ergo: das Logging ist schön, aber verlassen sollte man sich darauf nicht. Für echte Tests einfach die Testnutzer in die Domänengruppe "Protected users" aufnehmen und dann schaeun, was nicht mehr läuft.