watislos
23.11.2023, aktualisiert am 25.11.2023
view2601
view19
0
Goto Top

NTLM Eintrag

FrageWindows Server
Tach Zusammen,

ich habe ein Problem mit einem NTLM Eintrag, vielleicht könnt Ihr mir ja helfen.

Insgesamt werden bei der Anmeldung 5x 4624 ID's geschrieben, davon sind vier in Ordnung, das heißt hier erfolgt die Authentifizierung über Kerberos. Nur der letzte Eintrag erfolgt über ein NTLM Paket...

Der Domänen-Benutzer hat keine UNC Pfade, auch sonst keine Verknüpfungen zu einem Gerät, Nas etc. der mit NTLM verbindet...und trotzdem wird bei jeder Anmeldung diese NTLM Ereignis im DC Protokolliert. Meine Frage: woher kommt die Seuche???

Gibt es eine Möglichkeit herauszufinden woher dieser NTLM Eintrag stammt, oder wie er zustande kommt.
Wie finde ich das heraus?


Danke!
ntlm0
ntlm5
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 91663160823

Url: https://administrator.de/contentid/91663160823

Ausgedruckt am: 27.11.2024 um 04:11 Uhr

19 Kommentare
Neuester Kommentar
Goto Top
user217
user217 23.11.2023 aktualisiert um 14:47:21 Uhr
Goto Top
Servus,

blöde Fragen gibts ja nicht, nur blöde Antworten.. in diesem Sinne wollte ich mal was dazu fragen.
Wie kommst du an die gefilterten Ergebnisse?
Hintergrund ist der das ich im Security Protokoll keinerlei unterscheidungsmerkmal (User, Computer etc) finde mit welchem ich einzelne Sitzungen protkollieren/auswerten könnte..
Da müsste ich schon mit Wireshark direkt nachgucken oder exportieren und neu formatieren..
Auf jedenfall lautet die Empfehlung abschalten, das hab ich gemacht. Anschließen funktionieren am Client keine Druckerfreigaben mehr, also wieder zurück. GPO siehe: https://learn.microsoft.com/de-de/windows/security/threat-protection/sec ...
DerWoWusste
DerWoWusste 23.11.2023 um 14:45:18 Uhr
Goto Top
Log am Client (secpol.msc ->lokale Richtlinie ->Netzwerksicherheit: ausgehende NTLM-Verbindungen zu Remoteservern: alle überwachen). Da steht dann im Log Anwendungs- und Dienstprotokolle Microsoft-Windows-NTLM/Operational, welcher Prozess das macht.
user217
user217 23.11.2023 um 14:49:34 Uhr
Goto Top
Also ich habs noch an weil ich es brauche, geht nichts anders. Vielleicht kann mir jemand erklären wie man es richtig macht?
watIsLos
watIsLos 23.11.2023 um 14:52:09 Uhr
Goto Top
Hi user217,

weiß nicht ob ich dich richtig verstanden habe...

Also die ID Einträge z.B: 4624 kannst Du in der Ereignisanzeige Filtern lassen. Vorraussetzung damit Du die NTLM Pakete überwachen kannst ist natürlich das Du es vorher diese auch aktiviert hast.
ntlm-audit-gruppenrichtlinie
windows-event-4624-forwarding-ntlm
watIsLos
watIsLos 23.11.2023 aktualisiert um 15:09:33 Uhr
Goto Top
@DerWoWusste

Danke! bin schon mal weiter!
Laut NTLM/Operational wird das geschrieben:

NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked.
Target server: cifs/firma.bla
Supplied user: (NULL)
Supplied domain: (NULL)
PID of client process: 4
Name of client process: 
LUID of client process: 0x8DAE9F2
User identity of client process: HeinzPeter
Domain name of user identity of client process: firma.bla
Mechanism OID: (NULL)

Ich verstehe jetzt aber trotzdem nicht was er mir sagen möchte, was genau ist das Problem?
DerWoWusste
DerWoWusste 23.11.2023 aktualisiert um 15:25:49 Uhr
Goto Top
Process ID 4 ist der Prozess "system" (=der Kernel). Vielleicht testet Windows eine Verbindung per NTLM, selbst, wenn es gar nicht zwingend benötigt wird. Auch Tests werden geloggt.
watIsLos
watIsLos 23.11.2023 um 15:30:53 Uhr
Goto Top
@DerWoWusste

Heißt das im Klartext, ich muss mich wegen dem Eintrag keine Sorge machen da die eigentliche Authentifizierung über Kerberos läuft und das dies nur ein Abfrage NTLM Test Paket des DC's ist? also uninteressantes Log Rauschen..
DerWoWusste
DerWoWusste 23.11.2023 um 15:33:34 Uhr
Goto Top
Bin unsicher. Ich kann mal bei uns reinschauen, wie's da aussieht.
DerWoWusste
DerWoWusste 23.11.2023 um 15:49:09 Uhr
Goto Top
Hab nachgeschaut. Nein, kommt hier nicht vor, aber wir verbieten auch clientseitig ausgehende NTLM-Pakete.
watIsLos
watIsLos 23.11.2023 aktualisiert um 16:04:26 Uhr
Goto Top
@DerWoWusste

Ja, das wird es sein, weil wir haben noch zwei Ausnahmefälle deswegen ist es per DC noch erlaubt...

Ich habe gerade mal klist auf dem Client ausgeführt. So wie ich das sehe laufen die ganzen Tickets über kerberos, werde aber die Tage mal schauen ob mimikatz (VM Testumgebung) hier was per ntlm Hashmäßig finden kann, und wenn ja ob das überhaupt aus Sicherheitsgründen relevant ist.

Server: krbtgt/firma.bla
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: krbtgt/firma.bla
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: cifs/nas1.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: cifs/nas2.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: cifs/dc.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: LDAP/dc.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
user217
user217 24.11.2023 um 06:38:38 Uhr
Goto Top
Zitat von @watIsLos:

Hi user217,

weiß nicht ob ich dich richtig verstanden habe...

Also die ID Einträge z.B: 4624 kannst Du in der Ereignisanzeige Filtern lassen. Vorraussetzung damit Du die NTLM Pakete überwachen kannst ist natürlich das Du es vorher diese auch aktiviert hast.

Hi WatsLos,

das ist klar, ich meine im Sec Event ausschließlich die NTLM Anmeldungen von den Kerberos trennen bzw. filtern. Ich finde kein weiteres Merkmal da es erst im Event steht um welches event es sich handelt. Blöd zum Erklären.
watIsLos
watIsLos 24.11.2023 um 09:27:17 Uhr
Goto Top
Das wäre eine Frage für:

@DerWoWusste

"das ist klar, ich meine im Sec Event ausschließlich die NTLM Anmeldungen von den Kerberos trennen bzw. filtern. Ich finde kein weiteres Merkmal da es erst im Event steht um welches event es sich handelt. Blöd zum Erklären."
DerWoWusste
DerWoWusste 24.11.2023 um 10:34:28 Uhr
Goto Top
Verstehe die Frage nicht wirklich. Am besten eine eigene aufmachen, @user217
user217
user217 24.11.2023 um 14:20:08 Uhr
Goto Top
Ich probier es nochmal, wenn ich NTLM events suche muss ich im Security Protokoll wild rumblättern um eins zu finden weil es in der Vorauswahl der Ereignisanzeige von Windows kein Merkmal/Parameter gibt welche Kerberos von NTLM unterscheidet. Somit bleibt mir nur der export um diese weiter zu trennen.
Es müsste doch einfacher sein NUR NTLM Events anzeigen zu lassen. Verstanden?
DerWoWusste
DerWoWusste 24.11.2023 aktualisiert um 14:50:06 Uhr
Goto Top
Verstanden.
Folgendes Skript nutzen (ersetze Kerberos wahlweise durch NTLM und passe die Anfangszeit an)
$Anfang=(Get-Date).AddMinutes(-1)
(Get-WinEvent -FilterHashtable @{Logname='Security'; ID=4624; StartTime=$Anfang; EndTime=(Get-Date)} | ForEach-Object {  
	$xml = [xml]($_.ToXml() -replace 'xmlns=', 'dummy=')  
	$_ | Select-Object -Property `
		TimeCreated,
		Id,
		@{n='AuthenticationPackageName';	e={$xml.SelectSingleNode("Event/EventData/Data[@Name='AuthenticationPackageName']").InnerText}},  
        @{n='TargetUserName';	e={$xml.SelectSingleNode("Event/EventData/Data[@Name='TargetUserName']").InnerText}}  
})
heart1
8030021182
8030021182 24.11.2023 aktualisiert um 15:09:31 Uhr
Goto Top
Zitat von @user217:

Ich probier es nochmal, wenn ich NTLM events suche muss ich im Security Protokoll wild rumblättern um eins zu finden weil es in der Vorauswahl der Ereignisanzeige von Windows kein Merkmal/Parameter gibt welche Kerberos von NTLM unterscheidet. Somit bleibt mir nur der export um diese weiter zu trennen.
Es müsste doch einfacher sein NUR NTLM Events anzeigen zu lassen. Verstanden?

Custom XML XPath-Filter ist dein Freund, Tab XML auf im Filterdialog, unten das Häkchen setzen bei "Manuell bearbeiten" und einfügen
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4624)] and EventData[Data[@Name='AuthenticationPackageName']='NTLM']]</Select>  
  </Query>
</QueryList>

Gruß Katrin
user217
user217 24.11.2023 um 15:12:17 Uhr
Goto Top
@klug###en weil wieder eingefallen: Get-WinEvent -LogName "Microsoft-Windows-NTLM/Operational"
Gibts doch eh seperat
8030021182
8030021182 24.11.2023 aktualisiert um 15:14:02 Uhr
Goto Top
Klar, das steht ja schon oben face-smile.
user217
user217 24.11.2023 aktualisiert um 15:30:28 Uhr
Goto Top
Wer lesen kann ist klar im vorteil. Sollte Feierabend machen, schönes WE!
PS das wars was ich vergessen hatte: https://sudohackfu.wordpress.com/2015/11/22/auditing-event-logs-with-pow ...
FrageWindows Server
Mehr von watIsLoswatIsLosDomänenanmeldung nicht möglich - Win11watIsLos - 8 KommentarewatIsLosWindows Fotoanzeige - iCloudwatIsLos - 6 KommentarewatIsLosOutlook 365 - Termine FehlermeldungwatIsLos - 26 KommentarewatIsLosKein Zugriff über SMBwatIsLos - 10 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 KommentareLangaberWindows Server Sicherung Restore - MöglichkeitenLangaber - 21 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 20 KommentareStefanKittelWarum machen Leute eigentlich einen Job von dem sie keine Ahnung haben?StefanKittel - 17 KommentareBlitterWindows 10 u. 11 und 802.1x Netzwerk PortsecurityBlitter - 16 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 15 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaxMicrosoft plant für 2025 mehrere Preiserhöhungenmax - 14 KommentareCoreknabePCIe x8 problemlos in x16?Coreknabe - 14 KommentareRalBloHausverkabelung Teil 2RalBlo - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 Kommentare