none
Audit / Track Authentification LAN Manager (LM) RRS feed

  • Discussion générale

  • Bonjour,

    Sur un domaine, je commence à monter le niveau de sécurité du domaine.

    La config est encore sur du LM/NTLMv1 (Network security: LAN Manager authentication level --> Send LM & NTLM - use NTLMv2 session security if negotiated).

    Je souhaite dans un premier temps commencer à tracker le LM.

    Est ce que quelqu'un à une technique pour différencier les authentifications LM de NTLMv1 ?

    (hormis isoler le PDC des autres DC et n'autoriser que le LM que sur le PDC).

    Merci


    Benoit

    mercredi 5 février 2020 10:05

Toutes les réponses

  • Bonjour Benoit N,

    Pour verifier l’utilisation de NTLMv1, veuillez consulter l'article ci-dessous.
    Comment vérifier l’utilisation de NTLMv1 sur un contrôleur de domaine basé sur Windows Server

    Merci d'avance pour votre retour.

    Cordialement,

    Biliana

    Votez! Appel à la contribution TechNet Community Support. LE CONTENU EST FOURNI "TEL QUEL" SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votreproblème. C'est une voie commune pour reconnaître ceux qui vous ont aidé, et rend plus facile pour les autres visiteurs de trouver plus tard la résolution.

    jeudi 6 février 2020 09:34
  • Bonjour Biliana,

    Merci pour la réponse, mais je souhaite traquer le LM et non NTLMv1.

    Cordialement


    Benoit

    jeudi 6 février 2020 10:02
  • Merci pour la réponse, mais je souhaite traquer le LM et non NTLMv1.

    En 2020 LM et NTLM V1 ne devrait plus être traqué mais éliminé, sauf si vous avez encore des postes en Windows 95 ou 98 par exemple. A partir de NT4 SP4 soit octobre 1998 ntlm V2 est supporté par Windows. 

    http://www.pbarth.fr/node/335

    De mémoire à partir de Vista les Hash Lan Manager ne sont plus stockés...

    Note importante : il ne faut pas confondre non plus "NTLMv2 session security" qui n'est pas du NTLM V2 mais une amélioration de NTLM V1. Vous pouvez consulter l'article suivant sur le paramètre de Windows  le plus mal compris de tout les temps comme l'indique l'auteur :

    https://docs.microsoft.com/en-us/previous-versions/technet-magazine/cc160954(v=msdn.10)

    En dessous d'un niveau 3 pour Lan Manager, on accepte un risque très important...

    hormis isoler le PDC des autres DC et n'autoriser que le LM que sur le PDC).

    Les PDC n'existent plus depuis Windows 2000 et le début d'Active Directory. Seul un rôle émulateur PDC qui a permis la compatibilité avec les versions précédentes. Ce rôle de compatibilité n'a plus lieu d'être aujourd'hui mais l'émulateur PDC conserve une fonction importante pour la synchronisation des horloges et pour les réplications urgentes.

    Je comprend que cela donne l'impression d'être un peu chiant sur les détails, mais d'expérience il y a beaucoup d'erreur et d'incompréhension qui découle de ce raccourci.

    Sinon pouvez-vous préciser votre environnement et ce qui vous inquiète dans la désactivation de ces protocoles d'un autre siècles ?

    jeudi 6 février 2020 20:16
  • Bonjour Philippe,

    En 2020 LM et NTLM V1 ne devrait plus être traqué mais éliminé

    C'est bien l'objectif final, mais malheureusement je constate que dans beaucoup d'AD le legacy est toujours présent et que la sécu passe au second plan jusqu'au moment ou... 

    Les PDC n'existent plus depuis Windows 2000 et le début d'Active Directory.

    Nous sommes bien d'accord, communément, PDC désigne le DC avec le rôle PDCEmulator.

    Sinon pouvez-vous préciser votre environnement et ce qui vous inquiète dans la désactivation de ces protocoles d'un autre siècles ?

    Foret (2008r2) mono-domaine (2008r2) sans trust porté sur des 2012r2.
    La majorité des OS membre sont du 2012r2 et plus. Il quelques 2003r2 et XP (App legacie, mais mois de 5).

    Origine :
    LMCompatibilityLevel = 0
    Dans un premier temps monté à 1 sur l'ensemble du domaine.

    Etant donné qu'il n'y a pas d'OS inférieur à 2003 /XP dans le domaine, tous sont compatible avec NTLMv2.
    Donc j'ai monté la LMCompatibilityLevel = 3 --> donc élimine LM et NTLMv1.
    Sauf que j'ai du faire un retour arrière car, il reste encore une application (au moins une) que fait l'authentifiaction en LM ou NTLMv1.
    Du coup j'aimerai savoir ce qu'il reste en LM et NTLMv1. Pour éviter les souci de prod lors de la prochaine modification de LMCompatibilityLevel.

    Pour info, la seule manière que je connaisse pour cette problématique et que je trouve lourde :

    #########################################################
    Configuration des DCs
    Advanced Audit Logon : Success /Failure
    Advanced Audit Credentials Validation : Success /Failure
    Advanced Audit Other Logon/Logoff Events : Success /Failure (optional)
    NTLM Blocker:
    o Network security: Restrict NTLM: Audit NTLM authentication in this domain = Enable all
    o Network security: Restrict NTLM: Audit Incoming NTLM Traffic = Enable auditing for all accounts 
    o Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers = Audit All (optional)
    Nltest /dbflag:2080ffff; net stop NetLogon && net start NetLogon sur PDC Emulator (optional)
    Reg Add HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics /v "16 LDAP Interface Events" /t REG_DWORD /d 2 (simple bind detection)

    I - LM/NTLM Authentication Detection
    Par défaut il n’est pas possible de distinguer les authentification NTLMv1 et LM. Si cela est votre souhait, voici comment procéder :
    Pour Rediriger les demandes de type LM vers un DC spécifique (PFE Emulator) et simplifier l’analyse :

    LMCompatibilityLevel = 4 sur tous les XX DCs (accepte juste NTLMv1 and NTLMv2)
    Remark : Sous condition qu’il n’y a pas une application sur un DC qui fait une authentification sortante LM/NTLM vers un serveur/appli/device.
    LMCompatibilityLevel = 1 sur le PDC Emulator (accept just LM, NTLMv1 and NTLMv2)

    Using 4776 event (security event log on DC’s) you can detect NTLMv1 / LM and NTLMv2 authentication. Unfortunately, you cannot distinguish between NTLMv1 and LM …
    If client use LM, there will be 4667 failure event on DC and 4667 success event on the PDCE -> actually we utilize fallback to PDCE in “password change” verification, pass-through Authentication scenarios (immediate RPC call from DC to PDCE)
    You need to correlate 4776 events from DC’s and PDCE.
    Key point here is to isolate PDCE from the clients to minimize amount of 4776 events in PDCE security event log -> put it on the dedicated AD site /32 subnet.

    Sur les DCs avec LMCompatibilityLevel = 4

    ...

    ########################################################

    Merci pour le coup de main.


    Benoit

    vendredi 7 février 2020 07:45