Nov 23, 2023, updated at Nov 25, 2023 (UTC)

2375

NTLM Eintrag

Tach Zusammen,

ich habe ein Problem mit einem NTLM Eintrag, vielleicht könnt Ihr mir ja helfen.

Insgesamt werden bei der Anmeldung 5x 4624 ID's geschrieben, davon sind vier in Ordnung, das heißt hier erfolgt die Authentifizierung über Kerberos. Nur der letzte Eintrag erfolgt über ein NTLM Paket...

Der Domänen-Benutzer hat keine UNC Pfade, auch sonst keine Verknüpfungen zu einem Gerät, Nas etc. der mit NTLM verbindet...und trotzdem wird bei jeder Anmeldung diese NTLM Ereignis im DC Protokolliert. Meine Frage: woher kommt die Seuche???

Gibt es eine Möglichkeit herauszufinden woher dieser NTLM Eintrag stammt, oder wie er zustande kommt.
Wie finde ich das heraus?

Danke!

Please also mark the comments that contributed to the solution of the article

Content-Key: 91663160823

Url: https://administrator.de/contentid/91663160823

Printed on: June 26, 2024 at 08:06 o'clock

19 Comments

Latest comment

Servus,

blöde Fragen gibts ja nicht, nur blöde Antworten.. in diesem Sinne wollte ich mal was dazu fragen.
Wie kommst du an die gefilterten Ergebnisse?
Hintergrund ist der das ich im Security Protokoll keinerlei unterscheidungsmerkmal (User, Computer etc) finde mit welchem ich einzelne Sitzungen protkollieren/auswerten könnte..
Da müsste ich schon mit Wireshark direkt nachgucken oder exportieren und neu formatieren..
Auf jedenfall lautet die Empfehlung abschalten, das hab ich gemacht. Anschließen funktionieren am Client keine Druckerfreigaben mehr, also wieder zurück. GPO siehe: https://learn.microsoft.com/de-de/windows/security/threat-protection/sec ...

Log am Client (secpol.msc ->lokale Richtlinie ->Netzwerksicherheit: ausgehende NTLM-Verbindungen zu Remoteservern: alle überwachen). Da steht dann im Log Anwendungs- und Dienstprotokolle Microsoft-Windows-NTLM/Operational, welcher Prozess das macht.

Also ich habs noch an weil ich es brauche, geht nichts anders. Vielleicht kann mir jemand erklären wie man es richtig macht?

Hi user217,

weiß nicht ob ich dich richtig verstanden habe...

Also die ID Einträge z.B: 4624 kannst Du in der Ereignisanzeige Filtern lassen. Vorraussetzung damit Du die NTLM Pakete überwachen kannst ist natürlich das Du es vorher diese auch aktiviert hast.

@DerWoWusste

Danke! bin schon mal weiter!
Laut NTLM/Operational wird das geschrieben:

NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked.
Target server: cifs/firma.bla
Supplied user: (NULL)
Supplied domain: (NULL)
PID of client process: 4
Name of client process: 
LUID of client process: 0x8DAE9F2
User identity of client process: HeinzPeter
Domain name of user identity of client process: firma.bla
Mechanism OID: (NULL)

Ich verstehe jetzt aber trotzdem nicht was er mir sagen möchte, was genau ist das Problem?

Process ID 4 ist der Prozess "system" (=der Kernel). Vielleicht testet Windows eine Verbindung per NTLM, selbst, wenn es gar nicht zwingend benötigt wird. Auch Tests werden geloggt.

@DerWoWusste

Heißt das im Klartext, ich muss mich wegen dem Eintrag keine Sorge machen da die eigentliche Authentifizierung über Kerberos läuft und das dies nur ein Abfrage NTLM Test Paket des DC's ist? also uninteressantes Log Rauschen..

Bin unsicher. Ich kann mal bei uns reinschauen, wie's da aussieht.

Hab nachgeschaut. Nein, kommt hier nicht vor, aber wir verbieten auch clientseitig ausgehende NTLM-Pakete.

@DerWoWusste

Ja, das wird es sein, weil wir haben noch zwei Ausnahmefälle deswegen ist es per DC noch erlaubt...

Ich habe gerade mal klist auf dem Client ausgeführt. So wie ich das sehe laufen die ganzen Tickets über kerberos, werde aber die Tage mal schauen ob mimikatz (VM Testumgebung) hier was per ntlm Hashmäßig finden kann, und wenn ja ob das überhaupt aus Sicherheitsgründen relevant ist.

Server: krbtgt/firma.bla
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: krbtgt/firma.bla
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: cifs/nas1.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: cifs/nas2.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: cifs/dc.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: LDAP/dc.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Zitat von @watIsLos:

Hi user217,

weiß nicht ob ich dich richtig verstanden habe...

Also die ID Einträge z.B: 4624 kannst Du in der Ereignisanzeige Filtern lassen. Vorraussetzung damit Du die NTLM Pakete überwachen kannst ist natürlich das Du es vorher diese auch aktiviert hast.

Hi WatsLos,

das ist klar, ich meine im Sec Event ausschließlich die NTLM Anmeldungen von den Kerberos trennen bzw. filtern. Ich finde kein weiteres Merkmal da es erst im Event steht um welches event es sich handelt. Blöd zum Erklären.

Das wäre eine Frage für:

@DerWoWusste

"das ist klar, ich meine im Sec Event ausschließlich die NTLM Anmeldungen von den Kerberos trennen bzw. filtern. Ich finde kein weiteres Merkmal da es erst im Event steht um welches event es sich handelt. Blöd zum Erklären."

Verstehe die Frage nicht wirklich. Am besten eine eigene aufmachen, @user217

Ich probier es nochmal, wenn ich NTLM events suche muss ich im Security Protokoll wild rumblättern um eins zu finden weil es in der Vorauswahl der Ereignisanzeige von Windows kein Merkmal/Parameter gibt welche Kerberos von NTLM unterscheidet. Somit bleibt mir nur der export um diese weiter zu trennen.
Es müsste doch einfacher sein NUR NTLM Events anzeigen zu lassen. Verstanden?

Verstanden.
Folgendes Skript nutzen (ersetze Kerberos wahlweise durch NTLM und passe die Anfangszeit an)

$Anfang=(Get-Date).AddMinutes(-1)
(Get-WinEvent -FilterHashtable @{Logname='Security'; ID=4624; StartTime=$Anfang; EndTime=(Get-Date)} | ForEach-Object {  
	$xml = [xml]($_.ToXml() -replace 'xmlns=', 'dummy=')  
	$_ | Select-Object -Property `
		TimeCreated,
		Id,
		@{n='AuthenticationPackageName';	e={$xml.SelectSingleNode("Event/EventData/Data[@Name='AuthenticationPackageName']").InnerText}},  
        @{n='TargetUserName';	e={$xml.SelectSingleNode("Event/EventData/Data[@Name='TargetUserName']").InnerText}}  
})

Zitat von @user217:

Ich probier es nochmal, wenn ich NTLM events suche muss ich im Security Protokoll wild rumblättern um eins zu finden weil es in der Vorauswahl der Ereignisanzeige von Windows kein Merkmal/Parameter gibt welche Kerberos von NTLM unterscheidet. Somit bleibt mir nur der export um diese weiter zu trennen.
Es müsste doch einfacher sein NUR NTLM Events anzeigen zu lassen. Verstanden?

Custom XML XPath-Filter ist dein Freund, Tab XML auf im Filterdialog, unten das Häkchen setzen bei "Manuell bearbeiten" und einfügen

<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4624)] and EventData[Data[@Name='AuthenticationPackageName']='NTLM']]</Select>  
  </Query>
</QueryList>

Gruß Katrin

@klug###en weil wieder eingefallen: Get-WinEvent -LogName "Microsoft-Windows-NTLM/Operational"
Gibts doch eh seperat

Klar, das steht ja schon oben

Wer lesen kann ist klar im vorteil. Sollte Feierabend machen, schönes WE!
PS das wars was ich vergessen hatte: https://sudohackfu.wordpress.com/2015/11/22/auditing-event-logs-with-pow ...

German Question Windows Server

Hotly discussed

Active Directory LDAPS certificate selection (deep dive)Dani