watislos
Goto Top

NTLM Eintrag

Tach Zusammen,

ich habe ein Problem mit einem NTLM Eintrag, vielleicht könnt Ihr mir ja helfen.

Insgesamt werden bei der Anmeldung 5x 4624 ID's geschrieben, davon sind vier in Ordnung, das heißt hier erfolgt die Authentifizierung über Kerberos. Nur der letzte Eintrag erfolgt über ein NTLM Paket...

Der Domänen-Benutzer hat keine UNC Pfade, auch sonst keine Verknüpfungen zu einem Gerät, Nas etc. der mit NTLM verbindet...und trotzdem wird bei jeder Anmeldung diese NTLM Ereignis im DC Protokolliert. Meine Frage: woher kommt die Seuche???

Gibt es eine Möglichkeit herauszufinden woher dieser NTLM Eintrag stammt, oder wie er zustande kommt.
Wie finde ich das heraus?


Danke!
ntlm0
ntlm5

Content-Key: 91663160823

Url: https://administrator.de/contentid/91663160823

Printed on: July 22, 2024 at 23:07 o'clock

Member: user217
user217 Nov 23, 2023 updated at 13:47:21 (UTC)
Goto Top
Servus,

blöde Fragen gibts ja nicht, nur blöde Antworten.. in diesem Sinne wollte ich mal was dazu fragen.
Wie kommst du an die gefilterten Ergebnisse?
Hintergrund ist der das ich im Security Protokoll keinerlei unterscheidungsmerkmal (User, Computer etc) finde mit welchem ich einzelne Sitzungen protkollieren/auswerten könnte..
Da müsste ich schon mit Wireshark direkt nachgucken oder exportieren und neu formatieren..
Auf jedenfall lautet die Empfehlung abschalten, das hab ich gemacht. Anschließen funktionieren am Client keine Druckerfreigaben mehr, also wieder zurück. GPO siehe: https://learn.microsoft.com/de-de/windows/security/threat-protection/sec ...
Member: DerWoWusste
DerWoWusste Nov 23, 2023 at 13:45:18 (UTC)
Goto Top
Log am Client (secpol.msc ->lokale Richtlinie ->Netzwerksicherheit: ausgehende NTLM-Verbindungen zu Remoteservern: alle überwachen). Da steht dann im Log Anwendungs- und Dienstprotokolle Microsoft-Windows-NTLM/Operational, welcher Prozess das macht.
Member: user217
user217 Nov 23, 2023 at 13:49:34 (UTC)
Goto Top
Also ich habs noch an weil ich es brauche, geht nichts anders. Vielleicht kann mir jemand erklären wie man es richtig macht?
Member: watIsLos
watIsLos Nov 23, 2023 at 13:52:09 (UTC)
Goto Top
Hi user217,

weiß nicht ob ich dich richtig verstanden habe...

Also die ID Einträge z.B: 4624 kannst Du in der Ereignisanzeige Filtern lassen. Vorraussetzung damit Du die NTLM Pakete überwachen kannst ist natürlich das Du es vorher diese auch aktiviert hast.
ntlm-audit-gruppenrichtlinie
windows-event-4624-forwarding-ntlm
Member: watIsLos
watIsLos Nov 23, 2023 updated at 14:09:33 (UTC)
Goto Top
@DerWoWusste

Danke! bin schon mal weiter!
Laut NTLM/Operational wird das geschrieben:

NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked.
Target server: cifs/firma.bla
Supplied user: (NULL)
Supplied domain: (NULL)
PID of client process: 4
Name of client process: 
LUID of client process: 0x8DAE9F2
User identity of client process: HeinzPeter
Domain name of user identity of client process: firma.bla
Mechanism OID: (NULL)

Ich verstehe jetzt aber trotzdem nicht was er mir sagen möchte, was genau ist das Problem?
Member: DerWoWusste
DerWoWusste Nov 23, 2023 updated at 14:25:49 (UTC)
Goto Top
Process ID 4 ist der Prozess "system" (=der Kernel). Vielleicht testet Windows eine Verbindung per NTLM, selbst, wenn es gar nicht zwingend benötigt wird. Auch Tests werden geloggt.
Member: watIsLos
watIsLos Nov 23, 2023 at 14:30:53 (UTC)
Goto Top
@DerWoWusste

Heißt das im Klartext, ich muss mich wegen dem Eintrag keine Sorge machen da die eigentliche Authentifizierung über Kerberos läuft und das dies nur ein Abfrage NTLM Test Paket des DC's ist? also uninteressantes Log Rauschen..
Member: DerWoWusste
DerWoWusste Nov 23, 2023 at 14:33:34 (UTC)
Goto Top
Bin unsicher. Ich kann mal bei uns reinschauen, wie's da aussieht.
Member: DerWoWusste
DerWoWusste Nov 23, 2023 at 14:49:09 (UTC)
Goto Top
Hab nachgeschaut. Nein, kommt hier nicht vor, aber wir verbieten auch clientseitig ausgehende NTLM-Pakete.
Member: watIsLos
watIsLos Nov 23, 2023 updated at 15:04:26 (UTC)
Goto Top
@DerWoWusste

Ja, das wird es sein, weil wir haben noch zwei Ausnahmefälle deswegen ist es per DC noch erlaubt...

Ich habe gerade mal klist auf dem Client ausgeführt. So wie ich das sehe laufen die ganzen Tickets über kerberos, werde aber die Tage mal schauen ob mimikatz (VM Testumgebung) hier was per ntlm Hashmäßig finden kann, und wenn ja ob das überhaupt aus Sicherheitsgründen relevant ist.

Server: krbtgt/firma.bla
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: krbtgt/firma.bla
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: cifs/nas1.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: cifs/nas2.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: cifs/dc.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96

Server: LDAP/dc.firma
KerbTicket (Verschlüsselungstyp): AES-256-CTS-HMAC-SHA1-96
Member: user217
user217 Nov 24, 2023 at 05:38:38 (UTC)
Goto Top
Zitat von @watIsLos:

Hi user217,

weiß nicht ob ich dich richtig verstanden habe...

Also die ID Einträge z.B: 4624 kannst Du in der Ereignisanzeige Filtern lassen. Vorraussetzung damit Du die NTLM Pakete überwachen kannst ist natürlich das Du es vorher diese auch aktiviert hast.

Hi WatsLos,

das ist klar, ich meine im Sec Event ausschließlich die NTLM Anmeldungen von den Kerberos trennen bzw. filtern. Ich finde kein weiteres Merkmal da es erst im Event steht um welches event es sich handelt. Blöd zum Erklären.
Member: watIsLos
watIsLos Nov 24, 2023 at 08:27:17 (UTC)
Goto Top
Das wäre eine Frage für:

@DerWoWusste

"das ist klar, ich meine im Sec Event ausschließlich die NTLM Anmeldungen von den Kerberos trennen bzw. filtern. Ich finde kein weiteres Merkmal da es erst im Event steht um welches event es sich handelt. Blöd zum Erklären."
Member: DerWoWusste
DerWoWusste Nov 24, 2023 at 09:34:28 (UTC)
Goto Top
Verstehe die Frage nicht wirklich. Am besten eine eigene aufmachen, @user217
Member: user217
user217 Nov 24, 2023 at 13:20:08 (UTC)
Goto Top
Ich probier es nochmal, wenn ich NTLM events suche muss ich im Security Protokoll wild rumblättern um eins zu finden weil es in der Vorauswahl der Ereignisanzeige von Windows kein Merkmal/Parameter gibt welche Kerberos von NTLM unterscheidet. Somit bleibt mir nur der export um diese weiter zu trennen.
Es müsste doch einfacher sein NUR NTLM Events anzeigen zu lassen. Verstanden?
Member: DerWoWusste
DerWoWusste Nov 24, 2023 updated at 13:50:06 (UTC)
Goto Top
Verstanden.
Folgendes Skript nutzen (ersetze Kerberos wahlweise durch NTLM und passe die Anfangszeit an)
$Anfang=(Get-Date).AddMinutes(-1)
(Get-WinEvent -FilterHashtable @{Logname='Security'; ID=4624; StartTime=$Anfang; EndTime=(Get-Date)} | ForEach-Object {  
	$xml = [xml]($_.ToXml() -replace 'xmlns=', 'dummy=')  
	$_ | Select-Object -Property `
		TimeCreated,
		Id,
		@{n='AuthenticationPackageName';	e={$xml.SelectSingleNode("Event/EventData/Data[@Name='AuthenticationPackageName']").InnerText}},  
        @{n='TargetUserName';	e={$xml.SelectSingleNode("Event/EventData/Data[@Name='TargetUserName']").InnerText}}  
})
Mitglied: 8030021182
8030021182 Nov 24, 2023 updated at 14:09:31 (UTC)
Goto Top
Zitat von @user217:

Ich probier es nochmal, wenn ich NTLM events suche muss ich im Security Protokoll wild rumblättern um eins zu finden weil es in der Vorauswahl der Ereignisanzeige von Windows kein Merkmal/Parameter gibt welche Kerberos von NTLM unterscheidet. Somit bleibt mir nur der export um diese weiter zu trennen.
Es müsste doch einfacher sein NUR NTLM Events anzeigen zu lassen. Verstanden?

Custom XML XPath-Filter ist dein Freund, Tab XML auf im Filterdialog, unten das Häkchen setzen bei "Manuell bearbeiten" und einfügen
<QueryList>
  <Query Id="0" Path="Security">  
    <Select Path="Security">*[System[Provider[@Name='Microsoft-Windows-Security-Auditing'] and (EventID=4624)] and EventData[Data[@Name='AuthenticationPackageName']='NTLM']]</Select>  
  </Query>
</QueryList>

Gruß Katrin
Member: user217
user217 Nov 24, 2023 at 14:12:17 (UTC)
Goto Top
@klug###en weil wieder eingefallen: Get-WinEvent -LogName "Microsoft-Windows-NTLM/Operational"
Gibts doch eh seperat
Mitglied: 8030021182
8030021182 Nov 24, 2023 updated at 14:14:02 (UTC)
Goto Top
Klar, das steht ja schon oben face-smile.
Member: user217
user217 Nov 24, 2023 updated at 14:30:28 (UTC)
Goto Top
Wer lesen kann ist klar im vorteil. Sollte Feierabend machen, schönes WE!
PS das wars was ich vergessen hatte: https://sudohackfu.wordpress.com/2015/11/22/auditing-event-logs-with-pow ...