Jetzt noch sicherer mit Kerberos Authentifizierung für WMI, SMB und Windows Remote Login

Kerberos-Authentication

Liebe JDisc Freunde,

ein Problem in JDisc Discovery war die Abhängigkeit vom NTLM-Protokoll zur Authentifizierung von Zugriffsdaten für Computer im Windows Active Directory / Domänen, anstatt das sicherere Kerberos-Protokoll zu nutzen.

Dieses Problem entstand, weil der Discovery-Prozess Computer im Windows Active Directory / Domänen, ausschließlich über deren IPv4- oder IPv6-Adressen zugriff. Obwohl dieser Ansatz für die Architektur und das Design des Discovery-Prozesses praktisch war, brachte er sowohl Sicherheits- als auch Funktionsrisiken mit sich, insbesondere wenn NTLM deaktiviert war.

Was ist neu?

Ab Version 5.0 Build 5217 wird JDisc Discovery das Kerberos-Authentifizierungsprotokoll für Computer im Windows Active Directory / Domänen verwenden und NTLM als standardmäßige Authentifizierungsmethode ersetzen.

Was ist das Problem mit dem NTLM-Authentifizierungsprotokoll?

NTLM ist ein veraltetes Authentifizierungsprotokoll von Microsoft, das mehrere bekannte Schwachstellen und Angriffsvektoren aufweist. Dennoch wird NTLM immer noch häufig verwendet, da es Anwendungen gibt, die das Kerberos-Protokoll nicht unterstützen.

Wenn Sie mehr darüber erfahren möchten, können Sie ChatGPT fragen („Bitte liste bekannte Schwachstellen und Angriffsvektoren des NTLM-Authentifizierungsprotokolls auf“), um eine Zusammenstellung der bekannten Schwachstellen und Angriffsvektoren zu erhalten. Zum Zeitpunkt der Erstellung dieses Protokolleintrags listete das Ergebnis etwa 16 bekannte Schwachstellen und Angriffsvektoren auf. ChatGPT wird Ihnen auch Vorschläge für Gegenmaßnahmen machen.

Mindern Sie Ihr Risiko und Schwachstellen

Um die bekannten Schwachstellen und Angriffsvektoren von NTLM zu mindern, sollten Sie die folgenden Windows-Einstellungen und Richtlinien anpassen:

  • Erzwingen Sie die Verwendung von Kerberos-Authentifizierung anstelle von NTLM, wo immer dies möglich ist.
  • Deaktivieren Sie NTLMv1 und beschränken Sie die Nutzung von NTLMv2.
  • Aktivieren Sie SMB-Signierung und erzwingen Sie die Integrität von Nachrichten.

Konfigurationsanforderungen zur Aktivierung der Kerberos-Authentifizierung in JDisc Discovery

Glücklicherweise ist keine spezielle Konfiguration erforderlich, um die Kerberos-Authentifizierung zu aktivieren. Es gibt jedoch eine kleine Einschränkung: Die Kerberos-Authentifizierung setzt eine korrekt konfigurierte DNS-Umgebung voraus. Das ist nichts Neues, da JDisc Discovery ohnehin Forward- und Reverse-DNS-Lookups benötigt, damit die Erkennung von Computern im Active Directory und Domänen funktioniert.

Weiterführende Lektüre

Microsoft bietet einen prägnanten Artikel über Die Entwicklung der Windows-Authentifizierung, den Sie möglicherweise hilfreich finden. Wenn Sie noch nicht von den Vorteilen von Kerberos gegenüber NTLM überzeugt sind, können Sie weitere Argumente auf The Hackers Recipes nachlesen.

Euer Thomas

About The Author

Thomas Frietsch
I am a senior software engineer and network discovery subject matter expert at JDisc. I am working primarily on the design and implementation of the discovery engine. Feel free to contact me on LinkedIn.

Leave A Comment


Der Zeitraum für die reCAPTCHA-Überprüfung ist abgelaufen. Bitte laden Sie die Seite neu.