[English]Noch ein weiterer Nachtrag vom April 2024-Patchday. Die Updates verursachen Problemen mit NTLM-Verbindungen zu Windows Server. Jedenfalls hat Microsoft entsprechende Nutzermeldungen erhalten und untersucht den Vorfall, wie das Unternehmen zum 30. April 2024 mitteilte.
Ich bin ebenfalls über die patchmanagement.org-Liste darauf aufmerksam geworden, dass es ein Problem mit den April 2024-Updates gibt. Microsoft hat zum 30. April 2024 auf der Windows Health-Statusseite von Windows Server 2022 den Eintrag NTLM traffic issue after installing the April 2024 security update veröffentlicht. Dort heißt es, dass Administratoren nach der Installation des Sicherheitsupdates vom April 2024 (KB5036909) auf Domänencontrollern (DCs) einen erheblichen Anstieg des NTLM-Authentifizierungsverkehrs feststellen können.
Dieses Problem betrifft laut Microsoft wahrscheinlich Organisationen, die einen sehr kleinen Prozentsatz an primären Domänencontrollern in ihrer Umgebung und einen hohen NTLM-Datenverkehr haben. Betroffen sind folgende Windows-Versionen:
- Windows Server 2022: KB5036909
- Windows Server 2019: KB5036896
- Windows Server 2016: KB5036899
- Windows Server 2012 R2: KB5036960
- Windows Server 2012: KB5036969
- Windows Server 2008 R2 SP1: KB5036967
- Windows Server 2008 SP2: KB5036932
Microsoft arbeitet an einer Lösung und will in einer der nächsten Versionen ein Update zur Verfügung stellen.
Kein offizieller Workaround
Einzige Möglichkeit, als Betroffener das Problem zu korrigieren, ist die Deinstallation des kumulativen Updates und die Blockade der Installation dieses und aller folgenden Updates. Zur Deinstallation des letzten kumulativen Update (LCU) ist die Befehlszeilenoption
DISM/Remove-Package xxxx
mit dem Namen (xxx) des Updates als Argument zu verwenden. Der Paketname lässt sich mit dem Befehl:
DISM /online /get-packages
ermitteln. Auf verwalteten Systemen ist dann das Update zur weiteren Installation zu sperren.
Ähnliche Artikel:
Microsoft Security Update Summary (9. April 2024)
Patchday: Windows 10-Updates (9. April 2024)
Patchday: Windows 11/Server 2022-Updates (9. April 2024)
Windows Server 2012 / R2 und Windows 7 (9. April 2024)
Danke, hab mich schon gewundert warum die Anmeldung an Clients seit paar Wochen fast 3 Minuten dauert.
Schau mal ob der Temp Ordner bei den Clients zu groß ist (bzw. viele Dateien hat).
Das war bei ein paar einzelnen Clients bei mir der Fall. Tempo Ordner geleert -> schon ging die Anmeldung wieder in wenigen Sekunden.
> einen sehr kleinen Prozentsatz an primären Domänencontrollern <
Aus (1): "primary domain controller (PDC): A domain controller (DC) designated to track changes made to the accounts of all computers on a domain. … A domain has only one PDC."
Insofern macht es generell keinen Sinn von einem "Prozentsatz an primären Domänencontrollern" zu sprechen.
(1) [MS-ADTS]: Active Directory Technical Specification
Release: January 29, 2024
winprotocoldoc.blob.core.windows.net/productionwindowsarchives/MS-ADTS/%5bMS-ADTS%5d-240129.pdf
> hohen NTLM-Datenverkehr <
Ich lese das so, dass der erhöhte Verkehr nicht nur ein kosmetisches Problem darstellt, sondern mit Überlastungen/Zeitüberschreitungen einher geht. Obgleich älteren Datums vielleicht nützlich: learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/performance-tuning-ntlm-authentication-maxconcurrentapi
Kann man gut mit SCOM überwachen, um mal zu sehen, wie hoch man den Wert für MaxConcurrentAPI schrauben sollte.
Ich habe mal quantitativ unser Monitoring nach NTLM Anmeldungen über die letzten 90 Tage über alle DCs befragt, eine beeindruckend große Zahl, aber ein quantitatives Wachstum seit dem April-Patchday kann ich nicht erkennen, die Anzahl pro Tag „wackelt“ in einer gewissen Bandbreite rauf und runter, bei übrigens null fehlgeschlagenen Anmeldungen. Die meisten Anmeldungen kommen von Service-Accounts und Computeraccounts. Also, Auswirkungen vom April-Update kann ich da jetzt nicht erkennen. Die konstante Kurve hat aber Mitte März einen Sprung um etwa 30% nach Oben gemacht, verharrt aber seit dem wieder in einem konstanten Bereich. Also, wenn was passiert ist, dann eher zum März-Patchday.
Ich bin mal gespannt, wie das mit der endgültigen NTLM-Abschaltung durch Win 11 und Server 2025 gehen soll.
Was dann passiert: 95% aller „Enteprise-Anwendungen“ fallen auf die Nase :D.
>75% des NLTM Traffics kommt von irgendwelchen supidupu >50k € Anwendungen und brüsten sich als eNt3rPr1sE 4nW3ndUnG und wenn die dann anschreibt, dass die doch mal auf Kerberoes umstellen sollen, bekommt man nur irgendwelchen Ausreden :(
Darunter fällt z.B. auch PRTG mit den WMI Sensoren, die nutzen auch nur NTLM (Feature Request ist seit Ewigkeiten offen bei denen: https://kb.paessler.com/en/topic/89790-open:-feature-request:-support-kerberos-authentication-for-wmi-sensors) und das zieht sich durch alle Applikationstypen, ist ja auch schön einfach mit NTLM …
>WMI Sensoren, die nutzen auch nur NTLM<
Nur spekulativ und andeutungsweise: Schau mal auf learn.microsoft.com/en-us/windows/win32/wmisdk/setting-client-application-process-security. Dort heisst es u. a. "COM calls it implicitly with values from the registry."
Des weiteren heisst es auf learn.microsoft.com/en-us/windows/win32/wmisdk/setting-authentication-in-wmi u. a. "run WMI with the winmgmt command with the /standalonehost switch and set the authentication level for WMI generally."
Ich sehe in beiden Quellen das Potential zu Eingriffen, welche das 'Sicherheitsverhalten' der Paessler WMI Sensoren von aussen ändern, ohne dass Paessler neu 'authentisierungsspezifischen' Code in die Sensoren bringen müsste.
Ich kenne mich da leider gar nicht aus, aber wodurch werden die NTLM Anmeldungen ausgelöst. Sollte das nicht Kerberos schon längst abgelöst haben? NTLM soll ja ein Sicherheitsrisiko sein?