Jetzt noch sicherer mit Kerberos Authentifizierung für WMI, SMB und Windows Remote Login
Liebe JDisc Freunde,
ein Problem in JDisc Discovery war die Abhängigkeit vom NTLM-Protokoll zur Authentifizierung von Zugriffsdaten für Computer im Windows Active Directory / Domänen, anstatt das sicherere Kerberos-Protokoll zu nutzen.
Dieses Problem entstand, weil der Discovery-Prozess Computer im Windows Active Directory / Domänen, ausschließlich über deren IPv4- oder IPv6-Adressen zugriff. Obwohl dieser Ansatz für die Architektur und das Design des Discovery-Prozesses praktisch war, brachte er sowohl Sicherheits- als auch Funktionsrisiken mit sich, insbesondere wenn NTLM deaktiviert war.
Was ist neu?
Ab Version 5.0 Build 5217 wird JDisc Discovery das Kerberos-Authentifizierungsprotokoll für Computer im Windows Active Directory / Domänen verwenden und NTLM als standardmäßige Authentifizierungsmethode ersetzen.
Was ist das Problem mit dem NTLM-Authentifizierungsprotokoll?
NTLM ist ein veraltetes Authentifizierungsprotokoll von Microsoft, das mehrere bekannte Schwachstellen und Angriffsvektoren aufweist. Dennoch wird NTLM immer noch häufig verwendet, da es Anwendungen gibt, die das Kerberos-Protokoll nicht unterstützen.
Wenn Sie mehr darüber erfahren möchten, können Sie ChatGPT fragen („Bitte liste bekannte Schwachstellen und Angriffsvektoren des NTLM-Authentifizierungsprotokolls auf“), um eine Zusammenstellung der bekannten Schwachstellen und Angriffsvektoren zu erhalten. Zum Zeitpunkt der Erstellung dieses Protokolleintrags listete das Ergebnis etwa 16 bekannte Schwachstellen und Angriffsvektoren auf. ChatGPT wird Ihnen auch Vorschläge für Gegenmaßnahmen machen.
Mindern Sie Ihr Risiko und Schwachstellen
Um die bekannten Schwachstellen und Angriffsvektoren von NTLM zu mindern, sollten Sie die folgenden Windows-Einstellungen und Richtlinien anpassen:
- Erzwingen Sie die Verwendung von Kerberos-Authentifizierung anstelle von NTLM, wo immer dies möglich ist.
- Deaktivieren Sie NTLMv1 und beschränken Sie die Nutzung von NTLMv2.
- Aktivieren Sie SMB-Signierung und erzwingen Sie die Integrität von Nachrichten.
Konfigurationsanforderungen zur Aktivierung der Kerberos-Authentifizierung in JDisc Discovery
Glücklicherweise ist keine spezielle Konfiguration erforderlich, um die Kerberos-Authentifizierung zu aktivieren. Es gibt jedoch eine kleine Einschränkung: Die Kerberos-Authentifizierung setzt eine korrekt konfigurierte DNS-Umgebung voraus. Das ist nichts Neues, da JDisc Discovery ohnehin Forward- und Reverse-DNS-Lookups benötigt, damit die Erkennung von Computern im Active Directory und Domänen funktioniert.
Weiterführende Lektüre
Microsoft bietet einen prägnanten Artikel über Die Entwicklung der Windows-Authentifizierung, den Sie möglicherweise hilfreich finden. Wenn Sie noch nicht von den Vorteilen von Kerberos gegenüber NTLM überzeugt sind, können Sie weitere Argumente auf The Hackers Recipes nachlesen.
Euer Thomas