5
Logging von NTLM-Nutzung
Moin Kollegen.
Ich versuche, einen Überblick darüber zu gewinnen, was im Windows-Netzwerk noch NTLM benötigt.
Habe dazu NTLM-Logging bei den Windows10(21H2)-Clients aktiviert:
https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
Restrict NTLM: Outgoing NTLM traffic to remote servers
auf
Audit All
und an das resultierende Event einen Trigger geknüpft, der mir eine Mail schreibt a la
Funktioniert soweit, ich habe auch schon 2 Anwendungen/Anwendungsfälle ausmachen können. Eine 3. Anwendung jedoch, die ebenso dafür bekannt ist, kein Kerberos zu können und NTLM zu nutzen, taucht im Log nicht auf, was mich sehr wundert.
Ich habe daraufhin einen Nutzer in die Domänengrupe "protected users" aufgenommen, die ja bekanntlich NTLM gar nicht erlaubt, diesen neu angemeldet und wie erwartet startet diese Anwendung nicht mehr, sprich: sie nutzt in der Tat NTLM.
Aber warum wird das nicht geloggt? Ist das mal wieder alles halbgarer Murks, den Microsoft da kocht?
Gibt es andere Wege das clientseitig zu loggen?
Ich will es nicht am DC loggen, da ich dann nicht die Prozessnamen erfahre.
Ich versuche, einen Überblick darüber zu gewinnen, was im Windows-Netzwerk noch NTLM benötigt.
Habe dazu NTLM-Logging bei den Windows10(21H2)-Clients aktiviert:
https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ...
Restrict NTLM: Outgoing NTLM traffic to remote servers
auf
Audit All
und an das resultierende Event einen Trigger geknüpft, der mir eine Mail schreibt a la
NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked.
PID of client process: 6232
Name of client process: C:\Program Files\Mozilla Firefox\firefox.exe LUID of client process: 0xBB148 User identity of client process: maxmuster Domain name of user identity of client process: mydom
PID of client process: 6232
Name of client process: C:\Program Files\Mozilla Firefox\firefox.exe LUID of client process: 0xBB148 User identity of client process: maxmuster Domain name of user identity of client process: mydom
Funktioniert soweit, ich habe auch schon 2 Anwendungen/Anwendungsfälle ausmachen können. Eine 3. Anwendung jedoch, die ebenso dafür bekannt ist, kein Kerberos zu können und NTLM zu nutzen, taucht im Log nicht auf, was mich sehr wundert.
Ich habe daraufhin einen Nutzer in die Domänengrupe "protected users" aufgenommen, die ja bekanntlich NTLM gar nicht erlaubt, diesen neu angemeldet und wie erwartet startet diese Anwendung nicht mehr, sprich: sie nutzt in der Tat NTLM.
Aber warum wird das nicht geloggt? Ist das mal wieder alles halbgarer Murks, den Microsoft da kocht?
Gibt es andere Wege das clientseitig zu loggen?
Ich will es nicht am DC loggen, da ich dann nicht die Prozessnamen erfahre.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2500890038
Url: https://administrator.de/contentid/2500890038
Ausgedruckt am: 23.11.2024 um 15:11 Uhr
5 Kommentare
Neuester Kommentar
Hi
unser Logging unterscheidet bei NTLM am DC immer zwischen AD Login und dem Local-Login:
Ich denke ja, dass du das bereits geprüft hast, es finden sich ja in beiden Logs NTLM Meldungen wieder, aber vielleicht hilft es dir ja
Gruß
@clSchak
unser Logging unterscheidet bei NTLM am DC immer zwischen AD Login und dem Local-Login:
- Ereignisanzeige\windows-protokolle\Sicherheit
- Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM
Ich denke ja, dass du das bereits geprüft hast, es finden sich ja in beiden Logs NTLM Meldungen wieder, aber vielleicht hilft es dir ja
Gruß
@clSchak
Hi.
Aber ich sage doch: am DC bringt mir das Logging nichts, da dort nicht geloggt werden kann, wie die Client-Anwendung heißt.
Aber ich sage doch: am DC bringt mir das Logging nichts, da dort nicht geloggt werden kann, wie die Client-Anwendung heißt.
mit den von dir genannten Einstellungen schreibt er ja in die lokalen Logs rein, habe es gerade ausprobiert auf meinem Client.
Mit den o.g. Settings schreibt er in "Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM"
Mit den o.g. Settings schreibt er in "Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\NTLM"
Ich weiß. Natürlich macht er das in die lokalen Logs. Er erfasst bloß offenbar nicht alle Programme und ist deshalb nutzlos weil unzuverlässig.
Deshalb frage ich nach Alternativen (und nein, auf Ebenen wie wireshark möchte ich deshalb nicht einsteigen), die mir einfach das halten, was dieses Logging von Windows verspricht.
Deshalb frage ich nach Alternativen (und nein, auf Ebenen wie wireshark möchte ich deshalb nicht einsteigen), die mir einfach das halten, was dieses Logging von Windows verspricht.
So, ich habe es aufgegeben. Dieses Programm (Postman, https://www.postman.com/ ) macht da wohl irgendwas außergewöhnliches, denn nicht einmal auf dem DC wird die NTLM-Nutzung geloggt (lässt sich aber wie gesagt lokal nachweisen, auch mit Wireshark).
Ergo: das Logging ist schön, aber verlassen sollte man sich darauf nicht. Für echte Tests einfach die Testnutzer in die Domänengruppe "Protected users" aufnehmen und dann schaeun, was nicht mehr läuft.
Ergo: das Logging ist schön, aber verlassen sollte man sich darauf nicht. Für echte Tests einfach die Testnutzer in die Domänengruppe "Protected users" aufnehmen und dann schaeun, was nicht mehr läuft.
