0

我们正在为通过 GPO 的入站和出站流量在我们的环境中关闭 NTLM。在我们的实验室测试中,我们在远程主机上阻止入站 NTLM 时遇到了以下问题:

  1. 通过跨林阻止入站 NTLM 的远程主机 RDP 生成 CredSSP 错误消息。
  2. 将 Encryption Oracle Remediation 设置为 Mitigated 或 Vulnerable 作为解决方法不起作用。
  3. 关闭远程主机上的 NLA 作为解决方法将允许跨林 RDP
  4. 我已尝试通过远程主机上的策略应用“允许委派新凭据”,但仍然出现 CredSSP 错误
  5. 我还尝试在远程主机上设置策略以将 SSL 用于“要求对远程 (RDP) 连接使用特定安全层”,但我仍然遇到相同的 CredSSP 错误。
  6. 起作用的是,如果我尝试从同一森林 RDP 到远程主机,它将允许连接,并且我可以确认它使用 Kerberos 进行 RDP 而不是 NTLM。
  7. 另一个观察结果是,一旦相同的林 RDP 在远程主机上工作,远程主机上的跨林 RDP 连接与被阻止的入站 NTLM 现在将工作。

有没有人遇到过类似的事情?如果是这样,是否有人找到了跨林 RDP 的解决方案,可以在具有阻止入站 NTLM 的远程主机上工作,而无需在同一林中的远程主机上进行预身份验证?

4

1 回答 1

0

Encryption Oracle Remediation错误是一个红鲱鱼,因为它使用与错误相同的错误代码NTLM is not available。除非您在 3 年内没有打补丁,否则它可能永远不会是加密 Oracle 修复问题。真的只是它试图回退到 NTLM 并且政策说不。

问题很可能是客户端无法找到或与域控制器通信以执行 NLA。

客户端必须首先找到用户的域(域 A)。从那里它验证他们的密码。然后它要求获得一张到机器的票。该机器不在用户的域中,因此它会创建一个推荐票证到它认为该机器所在的位置(域 B)。

推荐被交还给客户端,客户端尝试找到一个 DC 到推荐应该去的地方(域 B)。客户端将推荐发送到域 B 并请求机器的票证。域控制器要么找到机器并为其发出票证,要么说它不知道并提供对另一个域(域 C)的引用,然后你再试一次,或者它只是失败,说找不到机器。

所有这些都是从客户端的角度发生的,而不是目标机器的角度。这发生在客户端甚至 ping 目标机器(ish)之前。这就是禁用 NLA 似乎可以解决问题的原因。

所以发生这种情况有几个原因:

  1. 您使用了 IP 地址——这是直接使用 NTLM 的场景。默认情况下,Kerberos 不处理 IP 地址。你可以打开它,但它不会缩放。
  2. 客户端无法与用户域(域 A)中的 DC 通信。网络问题,客户端需要到域控制器的视线,加上 DNS。
  3. 客户端无法与目标计算机域(域 B)中的 DC 通信。仍然是一个网络问题,客户端需要到域控制器的视线以及 DNS。
  4. 您没有提供正确的完全限定名称,并且用户的 DC 无法确定它应该引用哪个林。您可以启用森林搜索顺序,它可能会有所帮助,或者您可以输入完全限定的机器名称。

这不是一个详尽的列表,但这些是最常见的原因。

参考:

https://syfuhs.net/windows-and-domain-trusts

https://syfuhs.net/how-authentication-works-when-you-use-remote-desktop

于 2021-10-01T17:23:15.730 回答