lcer00
Goto Top

Besteht ein SicherheitsUnterschied zwischen WindowsClients und SambaClients bezüglich NTLM un Kerberos

Hallo zusammen,

zum Hintergrund - unser Backup-NAS ist nicht in der Windows AD-Domäne, die Anmeldung der auf den Shares erfolgt über NTLM. Ich versuche gerade, die Sichereheitsrisiken einzuschätzen.

zur Frage:

in Domänen-Netzwerken erfolgt die Authentifizierung über Kerberos. Das Verwenden von NTLM und NTLMv2 birgt Sicherheitsrisiken wegen der gespeicherten Passwort-Hashes. Besteht hier ein Unterschied bei Clients mit Linux mit Samba gegenüber Windows-Clients inbesondere auf das Auslesen der NTLM-Hashes?

Die Alternative wäre, das NAS in die Domäne aufzunehmen und Kerberos zu verwenden - dabei würde man auf NTLM verzichten, würde aber andere Risiken eingehen (direkter Zugriff auf Backups bei Kompromittierung der DCs). Das soll hier aber nicht Thema sein.


Grüße

lcer

Content-Key: 622969

Url: https://administrator.de/contentid/622969

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: aqui
aqui 16.11.2020 um 11:18:15 Uhr
Goto Top
Und fürs "d" gibts den Bearbeiten Knopf. face-wink
Mitglied: lcer00
lcer00 16.11.2020 um 12:37:22 Uhr
Goto Top
Zitat von @aqui:

Und fürs "d" gibts den Bearbeiten Knopf. face-wink
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.

Grüße

lcer
Mitglied: Lochkartenstanzer
Lochkartenstanzer 16.11.2020 aktualisiert um 17:42:47 Uhr
Goto Top
Zitat von @lcer00:

Zitat von @aqui:

Und fürs "d" gibts den Bearbeiten Knopf. face-wink
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.

Dann ist Dein Rechner put.

Aber ein NTLM-Client mach keine Unterschiede zwischen Samba und Window-Server.

lks
Mitglied: lcer00
lcer00 16.11.2020 um 18:17:16 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @lcer00:

Zitat von @aqui:

Und fürs "d" gibts den Bearbeiten Knopf. face-wink
Sorry, geht aber leider nicht [neuer Edge & Firefox & Safari]. Entweder geht das Änderungsfenster nicht auf oder die Änderung wird nicht gespeichert.

Dann ist Dein Rechner put.

mein Handy dann aber auch ...
Aber ein NTLM-Client mach keine Unterschiede zwischen Samba und Window-Server.
sonst würde ja das Protokoll nicht funktionieren. Nein das meinte ich nicht, habe hier wohl auch mal wieder zu schnell getippt - hier bezüglich Client/Server Terminologie. Ich will wissen, ob der Service auf dem PC - egal ob als smb server oder smb client fungierend - unterschiedlich gut angreifbar ist, insbesondere bei Verwendung von NTLM(v2) anstelle von Kerberos.

Grüße

lcer
Mitglied: NetzwerkDude
NetzwerkDude 18.11.2020 um 10:06:42 Uhr
Goto Top
Also mir wäre neu das der "smbclient" (das commandozeilentool für linux) was cachen würde, d.h. der Hash ist vermutlich im RAM bei der Ausführung des programms, sonst aber nicht auf der platte - aber ich lass mal ein strace laufen bei Gelegenheit, schaun mer mal.

Wegen NTLM vom Windows Client: Soweit ich weiß wurde der Credential Guard noch nicht geknackt - d.h. das aktivieren sollte ein wirksamer schutz sein.