Wiki source code of Active Directory Security - NTLM und Kerberos
Last modified by Sabrina V. on 2026/05/19 09:50
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | Innerhalb von ACMP wird derzeit noch neben Kerberos auch NTLM als Authentifizierungsverfahren für LDAP-Anfragen eingesetzt, auch wenn dieses nicht mehr empfohlen wird. Nachfolgend finden Sie einige Informationen dazu, wo und aus welchen Gründen die verschiedenen Authentifizierungsverfahren zum Einsatz kommen: | ||
| 2 | |||
| 3 | = Authentifizierung mit Kerberos = | ||
| 4 | |||
| 5 | Die Verwendung von Kerberos als Authentifizierungsverfahren findet in ACMP standardmäßig statt, wenn alle Komponenten Mitglied derselben Domäne sind. Führt ein in der Domäne angemeldeter Benutzer eine LDAP-Abfrage aus, so ist mit Kerberos die sichere Authentifizierung möglich. | ||
| 6 | |||
| 7 | = Authentifizierung mit NTLM = | ||
| 8 | |||
| 9 | Die Verwendung von NTLM als Authentifizierungsverfahren findet in ACMP in bestimmten Szenarien statt, in denen z.B. der ACMP Server nicht Teil der Domäne ist. In diesen Szenarien wird eine LDAP-Abfrage nicht durch die ACMP Console, sondern durch den ACMP Server durchgeführt. Aufgrund der Tatsache, dass der Server kein Mitglied der Domäne ist, kann Kerberos nicht verwendet werden und es wird stattdessen NTLM verwendet. NTLM wird ebenfalls genutzt, wenn die Verschlüsselungsmethode SSL/TLS nicht genutzt wird. | ||
| 10 | |||
| 11 | [[Eigenschaften der Anmeldeinformationen>>image:610_Einstellungen_Eigenschaften der Anmeldeinformationen_402.png]] | ||
| 12 | |||
| 13 | = Unter welchen Umständen ist es möglich, NTLM zu deaktivieren? = | ||
| 14 | |||
| 15 | Voraussetzung für eine Deaktivierung von NTLM ist, dass sowohl der Server als auch alle Komponenten, die Kerberos als Authentifizierung verwenden sollen/müssen, auch Mitglied der Domäne sind. Externe Domänen können dabei nicht ausgelesen werden, jedoch sind Subdomains zulässig. Für die Kommunikation zwischen den relevanten ACMP Komponenten dürfen ausschließlich Namen (FQDNs/Hostnamen) verwendet werden. | ||
| 16 | |||
| 17 | {{aagon.warnungsbox}} | ||
| 18 | Die Nutzung von IP-Adressen wird hierbei nicht empfohlen, obwohl es technisch möglich wäre. Grund dafür ist, dass die Sicherheitsmaßnahmen von Kerberos sonst umgangen werden können. Es müssen die Kerberos-SPNs und die DNS-Auflösung korrekt funktionieren. Die Checkbox //Statische IPs verwenden// darf demnach nicht angehakt sein (siehe vorherige Grafik). | ||
| 19 | {{/aagon.warnungsbox}} | ||
| 20 | |||
| 21 | Wir empfehlen außerdem sichere Passwörter zu nutzen (empfohlene Zeichenanzahl: ca. 14 Zeichen) oder idealerweise auch die Managed Service Accounts, um die generelle Passwortverwaltung zu minimieren. | ||
| 22 | |||
| 23 | = Wann wird welche Authentifizierungsmethode genutzt? = | ||
| 24 | |||
| 25 | Durch den technischen Aufbau von ACMP wird die Authentifizierungsmethode mit dem Domain Controller ausgehandelt. Sind alle technischen Vorrausetzungen für Kerberos erfüllt, so wird Kerberos auch immer als erstes verwendet. Als Fallback wird auf NTLM zurückgegriffen. | ||
| 26 | |||
| 27 | = Einschätzung eines externen Security-Spezialisten zur Verwendung von NTLM = | ||
| 28 | |||
| 29 | Es gibt Szenarien, in denen die Maschinen auf denen Teile von ACMP eingesetzt werden, nicht Mitglied einer Domäne sein können (z.B. aufgrund von Inkompatibilitäten oder externer Domains). In diesen Fällen ist es nicht möglich Kerberos zu verwenden und es muss stattdessen NTLM verwendet werden. | ||
| 30 | |||
| 31 | Zur Gewährleistung der maximalen Sicherheit in solchen Fällen, wurde ein externer Security-Spezialist zur Verwendung von NTLM in ACMP befragt. Der Security-Spezialist stimmt zu, dass nicht alle Fälle in den nächsten Jahren mit Kerberos abgedeckt werden können. Microsoft arbeitet aktuell an einer Weiterentwicklung einer neuen Authentifizierungsmethode (IAKerb), um alle Fälle aus Kerberos und NTLM abdecken zu können. | ||
| 32 | |||
| 33 | Um dennoch höchstmögliche Sicherheit zu gewährleisten, sollte zumindest SSL/TLS aktiviert werden. Hier müssen ggf. die Zertifikate der angefragten Domäne für den Host importiert werden. Auch die Secure Authentication (ADS_SECURE_AUTHENTICATION) sollte hier genutzt werden, was ACMP per Default bei der Verwendung von Credentials tut. Ebenso sollten wie bei Kerberos auch, ausreichend lange Passwörter verwendet werden. | ||
| 34 | |||
| 35 |