Kerberos und NTLM

Kerberos und NTLM – Authentifizierung in Windows-Netzwerken

Wenn du dich an einem Windows-PC mit deinem Domänen-Passwort anmeldest, schickst du dein Passwort nicht im Klartext über das Netzwerk – und auch nicht in einer einfachen verschlüsselten Form. Stattdessen läuft im Hintergrund eines der zwei Authentifizierungsprotokolle: Kerberos oder NTLM. Kerberos ist der moderne Standard in AD-Domänen und deutlich sicherer. NTLM ist der Legacy-Fallback der aus Kompatibilitätsgründen noch läuft aber zunehmend abgeschaltet wird.

Das Verstehen dieser Protokolle ist wichtig für Troubleshooting (warum kann sich der Benutzer nicht anmelden?), für Sicherheitsanalysen (warum sehe ich im Event Log NTLM-Authentifizierungen?) und für die IHK-Prüfung. Kerberos basiert auf Tickets – wie ein Konzertticket das du einmal kaufst und dann am Einlass vorzeigst, ohne dass der Türsteher die Konzertveranstalterin anrufen muss.

1) Kerberos – das Ticket-System

Kerberos funktioniert mit Tickets. Der KDC (Key Distribution Center) auf dem Domänencontroller stellt Tickets aus. Es gibt zwei Ticket-Arten: das TGT (Ticket Granting Ticket) – das Hauptticket das du beim Login bekommst und mit dem du weitere Tickets anfragen kannst – und das Service Ticket, das für den Zugriff auf einen konkreten Dienst (z.B. einen Dateiserver) benötigt wird. Entscheidend: Das Passwort verlässt beim Login niemals den Client – nur ein abgeleiteter Hash wird zur Authentifizierung verwendet. Klicke den Ablauf Schritt für Schritt durch:

Kerberos-Authentifizierungsablauf – Schritt für Schritt

ClientAS-REQ: Client sendet seinen Benutzernamen und einen verschlüsselten Zeitstempel (verschlüsselt mit dem Passwort-Hash) an den Authentication Service des KDC.

KDC/DCAS-REP: KDC prüft den Zeitstempel. Bei Erfolg: TGT wird ausgestellt (verschlüsselt mit dem KDC-eigenen Schlüssel – krbtgt-Account). Außerdem ein Session-Schlüssel für den Client.

ClientTGS-REQ: Benutzer will auf \\server\freigabe zugreifen. Client schickt TGT + Anfrage für Service Ticket (für cifs/server) an den Ticket Granting Service (TGS) des KDC.

KDC/DCTGS-REP: KDC prüft TGT. Stellt Service Ticket für den Ziel-Server aus (verschlüsselt mit dem Passwort-Hash des Server-Dienstkontos). Der DC muss den Server nicht direkt kontaktieren.

ClientAP-REQ: Client präsentiert Service Ticket dem Ziel-Server. Das Ticket enthält die Identität und Gruppenmitgliedschaft des Benutzers.

ServerAP-REP: Server entschlüsselt das Service Ticket mit seinem eigenen Schlüssel. Prüft Timestamp und Identität. Zugriff gewährt – ohne den DC erneut zu kontaktieren. ✓

Drücke „Nächster Schritt".

TGT-Gültigkeitsdauer: standardmäßig 10 Stunden. Danach muss der Benutzer sich erneut am DC authentifizieren um ein neues TGT zu bekommen. Service Tickets gelten standardmäßig 10 Stunden. Das Passwort verlässt den Client bei Kerberos niemals – nur Hashes und verschlüsselte Daten fließen über das Netz. Das macht Kerberos deutlich sicherer als einfache Passwort-Authentifizierung.

2) NTLM – der Legacy-Fallback

NTLM (NT LAN Manager) ist das ältere Authentifizierungsprotokoll das Kerberos vorausging. Es funktioniert per Challenge-Response: Der Server schickt eine zufällige Challenge, der Client antwortet mit einem Hash seines Passworts + Challenge. Kein Ticket-System, keine zentralisierte Sicherheit. NTLM wird heute noch genutzt wenn:

Der Server-Name per IP-Adresse statt Hostname angesprochen wird (Kerberos braucht den DNS-Namen für SPN-Lookup)
Der Dienst keinen SPN (Service Principal Name) im AD registriert hat
Arbeitsgruppen-Computer (nicht in Domain) kommunizieren
Legacy-Anwendungen NTLM explizit verlangen

	Kerberos	NTLM
Protokoll	Ticket-basiert, KDC-zentrisch	Challenge-Response, direkt
Passwort über Netz	Nie – nur verschlüsselte Ableitungen	Nie – nur Hash-Response
DC-Kontakt bei jedem Zugriff	Nein (Service Ticket beim Dienst cached)	Ja – für jede Authentifizierung
Mutual Authentication	Ja – Client und Server authentifizieren sich gegenseitig	Nein – nur Client wird authentifiziert
Angriffsvektoren	Pass-the-Ticket, Golden Ticket, Silver Ticket	Pass-the-Hash, NTLM Relay, Brute-Force-offline
Empfehlung	Standard – immer bevorzugen	Deaktivieren wo möglich – Legacy

Zusammenfassung

Kerberos: Ticket-basiert, TGT beim Login, Service Ticket je Dienst, gegenseitige Authentifizierung, kein DC-Kontakt bei jedem Zugriff. Passwort verlässt Client nie. NTLM: Challenge-Response, Legacy-Fallback, jede Auth braucht DC-Kontakt, keine gegenseitige Auth, anfällig für Pass-the-Hash und NTLM-Relay. Kerberos greift wenn DNS-Name + SPN registriert. NTLM wenn IP-Adresse genutzt oder kein SPN.

Kerberos und NTLM

1) Kerberos – das Ticket-System

2) NTLM – der Legacy-Fallback

Zusammenfassung

Anmelden

Account Registrieren und Fortschritt Speichern!

Modal title