Verifique o Protocolo de Autenticação Primária do Active Directory (NTLM ou Kerberos?) [duplicado]

Navegue suas respostas
5

Como posso verificar, a partir de uma máquina cliente (no Grupo Global) (também é administrador local), se o controlador de domínio está autenticando minha solicitação de login para o domínio usando NTLM ou Kerberos?

Eu sei que o Kerberos está habilitado por padrão, mas o administrador do domínio sempre pode forçar os clientes para autenticação com outros protocolos. Então eu só quero ter certeza de qual protocal eles estão usando. Existem métodos para verificar?

Qualquer ajuda seria apreciada

    
por Andrew Watson 11.04.2015 / 17:11

3 respostas

6

A resposta de Greg está bem, mas sua pergunta especificamente declara que você deseja verificar isso no cliente, não no controlador de domínio. Então vou dar uma olhada nisso.

Primeiro, ative o log do Kerberos no seu cliente: 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
    LogLevel DWORD 0x1

Quando o log do Kerberos estiver habilitado, faça logon e veja o log de eventos. Se você estiver usando o Kerberos, verá a atividade no log de eventos. Se você estiver passando suas credenciais e não visualizar nenhuma atividade do Kerberos no log de eventos, estará usando o NTLM.

Segunda maneira, você pode usar o utilitário klist.exe para ver seus tíquetes Kerberos atuais. Isso definitivamente irá ajudá-lo se você estiver autenticando para um serviço pela primeira vez, porque você estará recebendo um novo ticket ... mas para autenticações subsequentes para o mesmo serviço, você pode reutilizar o mesmo ticket, e assim klist.exe pode ser de uso limitado para você.

Terceira maneira, assista a autenticação acontecer com o Wireshark.

    
por 11.04.2015 / 20:32
4

Uma maneira seria verificar o log de eventos de segurança do controlador de domínio para eventos de identificação de evento 4264 (logon), em que o AuthenticationPackageName é NTLM ou Kerberos. Você também deve verificar se os controladores de domínio têm a auditoria ativada e se estão capturando os eventos de auditoria necessários.

Você pode criar filtros personalizados de Visualizar Eventos para facilitar isso e filtrar outros campos, como o nome de usuário ou o nome da estação de trabalho: 

<QueryList>  
  <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name="AuthenticationPackageName"] = "NTLM"] and System[(EventID=4624)]]</Select>
  </Query> 
</QueryList>  


<QueryList>  
  <Query Id="0" Path="Security">
    <Select Path="Security">*[EventData[Data[@Name="AuthenticationPackageName"] = "Kerberos"] and System[(EventID=4624)]]</Select>
  </Query> 
</QueryList>

    
por 11.04.2015 / 18:27
-1

Você pode forçar seu cliente a usar apenas um ou outro para garantir que você esteja usando o Kerberos (ou o NTLM, se preferir, por algum motivo).

A Microsoft tem um guia que você pode achar útil. Ele informa como avaliar e restringir o uso do NTLM. Auditoria e restrição do guia de uso do NTLM

    
por 11.04.2015 / 17:24

Tags

Problema de proteção de acesso remoto à rede e ao acesso à rede AOL salta com: AOL não aceita a entrega desta mensagem [closed]