lcer00
Goto Top

Monitoring von Windows über SNMP statt WMI mit NTLM

Hallo zusammen,

wir setzen seit Jahren PRTG zum Monitoring unserer Windows-Systeme ein. Die WMI-Sensoren von PRTG beherrschen nur die Authentifizierung über NTLM, Kerberos ist nicht möglich (Einen entsprechenden Feature-Request bei PRTG gibt es bereits, das Problem ist dort aber auch wohl schon länger bekannt). Jetzt möchte ich in unserer Domäne NTLM komplett abschalten. Alles ist soweit vorbereitet, das Audit gemäß https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ... ist aktiviert. Die einzigen Konten, die noch NTLM nutzen, sind die exklusiv von PRTG verwendeten Konten.

Es sieht also wie folgt aus: Wenn ich NTLM(v2) per GPO deaktiviere, verliere ich meine WMI-basierten Sensoren in PRTG. Eine Anfrage diesbezüglich bei PRTG brachte lediglich den freundlichen Hinweis, man könne ja auch über SNMP monitoren. Allerdings habe ich die SNMP-Dienste auf allen Windows-10-PCs und allen VM-Servern deaktiviert, da es mir auch nicht so furchtbar sicher vorkommt. Zudem ist SNMP laut Microsoft als deprecated anzusehen https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ... Und irgendwie scheint es demnächst aus Windows 10 ganz zu verschwinden. Allerdings werden ja auch alle anderen Netzwerkgeräte und Linux-Server über SNMP gemonitort.

Und laut Paessler/PRTG ist SNMPv3 ziemlich ressourcenhungrig. https://www.paessler.com/manuals/prtg/snmp_monitoring#limitations

Bleiben folgende Optionen:

  • NTLM deaktivieren und auf das WMI-basierte Monitoring verzichten
  • NTLM deaktivieren und stattdessen SNMP verwenden
  • NTLM weiter benutzen

Zum reduzieren der Angriffsfläche wäre ja die erste Version vorzuziehen. Dabei verliere ich aber einige wichtige Sensoren.

Die Frage wäre überspitzt letzten Endes folgende: Wozu ich PRTG brauche ich PRTG, wenn sich das Monitoring zukünftig auf Pings beschränkt.

Grüße

lcer

Content-Key: 1113554441

Url: https://administrator.de/contentid/1113554441

Ausgedruckt am: 29.03.2024 um 15:03 Uhr

Mitglied: 148656
148656 02.08.2021 um 10:27:59 Uhr
Goto Top
Moin,

Die Angriffsfläche kann man etwas eindämmen. Durch entsprechende Firewallregeln auf dem Server und in den Netzwerkkomponenten selbst.
Also der Server nimmt nur Anfragen vom Monitoring entgegen.
Die Router lassen nur zwischen Monitoring-Server und Target-Server SNMP-Traffic zu.

Gruß

C.C.
Mitglied: clSchak
clSchak 02.08.2021 um 10:44:44 Uhr
Goto Top
Hi

wie @148656 bereits geschrieben hat, kann man den SNMP Agent unter Windows so einrichten, dass er nur von dedizierten IP Adressen Anfragen entgegen nimmt. Man sollte das zusätzlich an der Firewall konfigurieren. Auf SNMPv3 würde ich tendenziell, sofern möglich, verzichten, das erzeugt schon einen erheblichen Load wenn einige Sensoren am laufen hat.

In dem Zuge kannst auch die Community auf einen anderen Wert wie "Public" stellen, was man ohnehin tun sollte.

Bei den Netzwerkendgeräten empfiehlt es sich, ein dedizierte Management-Netzwerk einzurichten, dass sollte vollkommen autark vom produktiven Netz eingerichtet werden, wir nutzen dafür die günstigsten Modelle von Ruckus (ICX7150). Das sind jeweils dedizierte Switche die keine direkte Verbindung zum produktiven Netz haben. Daran angeschlossen sind dann die Management-Interfaces der einzelnen Geräte (Switche, iDRAC/iLO ..., PDU, USV....) und der Monitoring-Server steht "mit einem" Bein in dem Netzwerk (ebenso eine Handvoll weitere Server die für das Netz notwendig sind).

Gruß
@clSchak
Mitglied: lcer00
lcer00 02.08.2021 um 11:00:28 Uhr
Goto Top
SMNP ist bei uns genau so abgesichert (Erlaubte Hosts, Management-Netzwerk, andere Community, Firewall dazwischen). Grundsätzlich sehe ich gefühlt bei NTLM die größere Angriffsfläche.

Die Frage wäre, wie lange Windows hier noch mitspielt, ich finde keine aktuelle "Roadmap" zum SNMP.

Grüße

lcer
Mitglied: 148656
148656 02.08.2021 um 11:09:23 Uhr
Goto Top
Moin,

Microsoft kann mit SNMP nicht brechen.
Selbst die teuersten Monitoring-Lösungen bauen darauf auf.

C.C.
Mitglied: clSchak
clSchak 02.08.2021 um 11:32:11 Uhr
Goto Top
die hätten gerne das alle Welt WMI benutzt .... face-smile, SNMP wird wohl noch einige Zeit bleiben, alleine schon aus den oben genannten Gründen.

Wir nutzen WMI ausschließlich zur Überwachung von Diensten um dort mehr Informationen zu bekommen, die Standardwerte (CPU, RAM, HDD usw.) werden alle über SNMP überwacht, erzeugt deutlich weniger Last.