none
Kerberos e compartilhamentos de arquivos RRS feed

  • Pergunta

  • Olá boa noite a todos,

    Estou querendo remover o NTLM do meu domínio e seguindo as orientações de audit desse link - http://woshub.com/disable-ntlm-authentication-windows/ - mapeei onde está ocorrendo autenticação via NTLM na rede. Meu ambiente é controlado por um DC Server 2019, mas com level funcional de 2008 R2 (acabou de ser migrado), tenho 2 servidores de arquivo, um deles é 2008 R2  e outro é um Ubuntu 20 com Samba 4, um servidor de aplicação acessado via RDP pelos usuários e todas as estações de trabalho rodam Windows 10. Os dois servidores de arquivo são mapeados via GPO para os usuários, através dos seus nomes DNS (G: = \\serverA.dominio.com e S: = \\serverB.dominio.com).

    Pois bem, com base no visualizador de eventos constatei que todas as estações autenticam no DC com Kerberos sem problema. Quando os usuários logam no servidor de aplicação, e a GPO dos mapeamentos ocorre, ele gera 3 logs de autenticação NTLM:

    - 1 para o usuário/máquina vs. servidor de aplicação

    - 1 do servidor de aplicação vs. servidor compartilhamento A

    - 1 do servidor de aplicação vs. servidor compartilhamento B

    Exemplo do event viewer:

    <EventData>
      <Data Name="SChannelName">FILESERVER_A</Data> 
      <Data Name="UserName">usuario</Data> 
      <Data Name="DomainName">DOMINIO</Data> 
      <Data Name="WorkstationName">APPLICATION_SERVER</Data> 
      <Data Name="SChannelType">2</Data> 
    </EventData>

    Pergunta: como forçar essa autenticação máquina x servidor de app, e servidor de app x compartilhamentos a utilizarem o Kerberos? Andei pesquisando sobre a opção "Confiar no computador para delegação a qualquer serviço (apenas Kerberos)" que tem no AD, mas não tenho certeza se seria a opção correta pra permitir o uso do Kerberos por essas máquinas.

    Obrigado desde já!

    quinta-feira, 15 de julho de 2021 00:16