5
Monitoring von Windows über SNMP statt WMI mit NTLM
Hallo zusammen,
wir setzen seit Jahren PRTG zum Monitoring unserer Windows-Systeme ein. Die WMI-Sensoren von PRTG beherrschen nur die Authentifizierung über NTLM, Kerberos ist nicht möglich (Einen entsprechenden Feature-Request bei PRTG gibt es bereits, das Problem ist dort aber auch wohl schon länger bekannt). Jetzt möchte ich in unserer Domäne NTLM komplett abschalten. Alles ist soweit vorbereitet, das Audit gemäß https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ... ist aktiviert. Die einzigen Konten, die noch NTLM nutzen, sind die exklusiv von PRTG verwendeten Konten.
Es sieht also wie folgt aus: Wenn ich NTLM(v2) per GPO deaktiviere, verliere ich meine WMI-basierten Sensoren in PRTG. Eine Anfrage diesbezüglich bei PRTG brachte lediglich den freundlichen Hinweis, man könne ja auch über SNMP monitoren. Allerdings habe ich die SNMP-Dienste auf allen Windows-10-PCs und allen VM-Servern deaktiviert, da es mir auch nicht so furchtbar sicher vorkommt. Zudem ist SNMP laut Microsoft als deprecated anzusehen https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ... Und irgendwie scheint es demnächst aus Windows 10 ganz zu verschwinden. Allerdings werden ja auch alle anderen Netzwerkgeräte und Linux-Server über SNMP gemonitort.
Und laut Paessler/PRTG ist SNMPv3 ziemlich ressourcenhungrig. https://www.paessler.com/manuals/prtg/snmp_monitoring#limitations
Bleiben folgende Optionen:
Zum reduzieren der Angriffsfläche wäre ja die erste Version vorzuziehen. Dabei verliere ich aber einige wichtige Sensoren.
Die Frage wäre überspitzt letzten Endes folgende: Wozu ich PRTG brauche ich PRTG, wenn sich das Monitoring zukünftig auf Pings beschränkt.
Grüße
lcer
wir setzen seit Jahren PRTG zum Monitoring unserer Windows-Systeme ein. Die WMI-Sensoren von PRTG beherrschen nur die Authentifizierung über NTLM, Kerberos ist nicht möglich (Einen entsprechenden Feature-Request bei PRTG gibt es bereits, das Problem ist dort aber auch wohl schon länger bekannt). Jetzt möchte ich in unserer Domäne NTLM komplett abschalten. Alles ist soweit vorbereitet, das Audit gemäß https://docs.microsoft.com/en-us/windows/security/threat-protection/secu ... ist aktiviert. Die einzigen Konten, die noch NTLM nutzen, sind die exklusiv von PRTG verwendeten Konten.
Es sieht also wie folgt aus: Wenn ich NTLM(v2) per GPO deaktiviere, verliere ich meine WMI-basierten Sensoren in PRTG. Eine Anfrage diesbezüglich bei PRTG brachte lediglich den freundlichen Hinweis, man könne ja auch über SNMP monitoren. Allerdings habe ich die SNMP-Dienste auf allen Windows-10-PCs und allen VM-Servern deaktiviert, da es mir auch nicht so furchtbar sicher vorkommt. Zudem ist SNMP laut Microsoft als deprecated anzusehen https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/window ... Und irgendwie scheint es demnächst aus Windows 10 ganz zu verschwinden. Allerdings werden ja auch alle anderen Netzwerkgeräte und Linux-Server über SNMP gemonitort.
Und laut Paessler/PRTG ist SNMPv3 ziemlich ressourcenhungrig. https://www.paessler.com/manuals/prtg/snmp_monitoring#limitations
Bleiben folgende Optionen:
- NTLM deaktivieren und auf das WMI-basierte Monitoring verzichten
- NTLM deaktivieren und stattdessen SNMP verwenden
- NTLM weiter benutzen
Zum reduzieren der Angriffsfläche wäre ja die erste Version vorzuziehen. Dabei verliere ich aber einige wichtige Sensoren.
Die Frage wäre überspitzt letzten Endes folgende: Wozu ich PRTG brauche ich PRTG, wenn sich das Monitoring zukünftig auf Pings beschränkt.
Grüße
lcer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1113554441
Url: https://administrator.de/forum/monitoring-von-windows-ueber-snmp-statt-wmi-mit-ntlm-1113554441.html
Ausgedruckt am: 04.04.2025 um 04:04 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Die Angriffsfläche kann man etwas eindämmen. Durch entsprechende Firewallregeln auf dem Server und in den Netzwerkkomponenten selbst.
Also der Server nimmt nur Anfragen vom Monitoring entgegen.
Die Router lassen nur zwischen Monitoring-Server und Target-Server SNMP-Traffic zu.
Gruß
C.C.
Die Angriffsfläche kann man etwas eindämmen. Durch entsprechende Firewallregeln auf dem Server und in den Netzwerkkomponenten selbst.
Also der Server nimmt nur Anfragen vom Monitoring entgegen.
Die Router lassen nur zwischen Monitoring-Server und Target-Server SNMP-Traffic zu.
Gruß
C.C.
Hi
wie @148656 bereits geschrieben hat, kann man den SNMP Agent unter Windows so einrichten, dass er nur von dedizierten IP Adressen Anfragen entgegen nimmt. Man sollte das zusätzlich an der Firewall konfigurieren. Auf SNMPv3 würde ich tendenziell, sofern möglich, verzichten, das erzeugt schon einen erheblichen Load wenn einige Sensoren am laufen hat.
In dem Zuge kannst auch die Community auf einen anderen Wert wie "Public" stellen, was man ohnehin tun sollte.
Bei den Netzwerkendgeräten empfiehlt es sich, ein dedizierte Management-Netzwerk einzurichten, dass sollte vollkommen autark vom produktiven Netz eingerichtet werden, wir nutzen dafür die günstigsten Modelle von Ruckus (ICX7150). Das sind jeweils dedizierte Switche die keine direkte Verbindung zum produktiven Netz haben. Daran angeschlossen sind dann die Management-Interfaces der einzelnen Geräte (Switche, iDRAC/iLO ..., PDU, USV....) und der Monitoring-Server steht "mit einem" Bein in dem Netzwerk (ebenso eine Handvoll weitere Server die für das Netz notwendig sind).
Gruß
@clSchak
wie @148656 bereits geschrieben hat, kann man den SNMP Agent unter Windows so einrichten, dass er nur von dedizierten IP Adressen Anfragen entgegen nimmt. Man sollte das zusätzlich an der Firewall konfigurieren. Auf SNMPv3 würde ich tendenziell, sofern möglich, verzichten, das erzeugt schon einen erheblichen Load wenn einige Sensoren am laufen hat.
In dem Zuge kannst auch die Community auf einen anderen Wert wie "Public" stellen, was man ohnehin tun sollte.
Bei den Netzwerkendgeräten empfiehlt es sich, ein dedizierte Management-Netzwerk einzurichten, dass sollte vollkommen autark vom produktiven Netz eingerichtet werden, wir nutzen dafür die günstigsten Modelle von Ruckus (ICX7150). Das sind jeweils dedizierte Switche die keine direkte Verbindung zum produktiven Netz haben. Daran angeschlossen sind dann die Management-Interfaces der einzelnen Geräte (Switche, iDRAC/iLO ..., PDU, USV....) und der Monitoring-Server steht "mit einem" Bein in dem Netzwerk (ebenso eine Handvoll weitere Server die für das Netz notwendig sind).
Gruß
@clSchak
SMNP ist bei uns genau so abgesichert (Erlaubte Hosts, Management-Netzwerk, andere Community, Firewall dazwischen). Grundsätzlich sehe ich gefühlt bei NTLM die größere Angriffsfläche.
Die Frage wäre, wie lange Windows hier noch mitspielt, ich finde keine aktuelle "Roadmap" zum SNMP.
Grüße
lcer
Die Frage wäre, wie lange Windows hier noch mitspielt, ich finde keine aktuelle "Roadmap" zum SNMP.
Grüße
lcer
Moin,
Microsoft kann mit SNMP nicht brechen.
Selbst die teuersten Monitoring-Lösungen bauen darauf auf.
C.C.
Microsoft kann mit SNMP nicht brechen.
Selbst die teuersten Monitoring-Lösungen bauen darauf auf.
C.C.
die hätten gerne das alle Welt WMI benutzt .... 
, SNMP wird wohl noch einige Zeit bleiben, alleine schon aus den oben genannten Gründen.
Wir nutzen WMI ausschließlich zur Überwachung von Diensten um dort mehr Informationen zu bekommen, die Standardwerte (CPU, RAM, HDD usw.) werden alle über SNMP überwacht, erzeugt deutlich weniger Last.
, SNMP wird wohl noch einige Zeit bleiben, alleine schon aus den oben genannten Gründen.Wir nutzen WMI ausschließlich zur Überwachung von Diensten um dort mehr Informationen zu bekommen, die Standardwerte (CPU, RAM, HDD usw.) werden alle über SNMP überwacht, erzeugt deutlich weniger Last.
