V pondělí mi přišel dotaz ohledně parametru /logon_query programu nltest. Jak se zdá, na Windows 2012 už nefunguje, tedy vrací hodnotu 0. Parametr jsem neznal, tak jsem to trošku prozkoumal a závěr je ten, že mě ani nikdy zajímat neměl. Protože je úplně na nic. Proto taky asi přestal na Windows 2012 řadičích domény (DC) fungovat. Nebo spíš jenom chybka?
Co to zobrazuje za hodnotu?
V tomhle článku na technetu píšou, že se jedná o Queries the cumulative number of NTLM logon attempts at a console or over a network. Což je dost nesmyslná nebo alespoň matoucí informace. Tak jsem to pozjišťoval.
Pomocí Network Monitoru jsem zjistil, že se to připojuje přes SMB named pipes do Netlogon interface na DC, kde to pomocí funkce NetrLogonControl2Ex a I_NetLogonControl2 zjišťuje hodnotu struktury NETLOGON_INFO_3, ve které je netlog3_logon_attempts. To má ovšem stejně na prd vypovídací hodnotu, jako předchozí popisek :-)
Takže jsem to musel vyzkoušet
Hodnota se nuluje po restartu operačního systému DC. Restartovat službu Netlogon ani NTDS nestačí. Na každém DC to má jinou hodnotu.
Hodnota se zvyšuje při každém NTLM pass-through ověření o jedničku (všechny verze LM, NTLM i NTLMv2). Tzn. pokud uživatel přistupuje na nějakou síťovou službu přes NTLM po síti. S konzolí (console) to nemá nic společného. To potom ten cílový server použije svoje blízké DC k ověření uživatele (nltest /sc_query) - použije svůj Netlogon secure channel vůči tomuto blízkému DC.
Hodnota se nemění, pokud se uživatel ověřuje pomocí Kerberos. Hodnota se nemění, ani když se používá Schannel ověření uživatele pomocí TLS client certificate (SSL). Hodnota se nemění ani když probíhá PAC validation (privilege attribute certificate) při Kerberos ověření do služby, která běží pod obyčejným uživatelem.
Obě tyto věci - Schannel a PAC validation jdou také pass-through přes ten cílový server, takže by se mohlo čekat, že to zvýší čítač. Nezvýší.
Na co to tedy je?
Prakticky na nic. Vědět absolutní počet NTLM ověření nedává smysl, protože tohle ověření v prvé řadě vůbec nechcete. Ani NTLMv2 neposkytuje plně vzájemné ověření klienta a serveru (mutual authentication) a to kompletně ani při NTLMv2 session security. Používá to starší HMAC-MD5. Zatímco Kerberos dělá vždycky mutual authentication a navíc může být AES.
Jediné, co vám to může indikovat je fakt, že máte těch NTLM ověření nějak moc.
Hodnota na každém DC bude jiná. Za prvé to závisí na době běhu daného DC stroje. Při jeho restartu se to nuluje.
Zadruhé NTLM ověřování je spíše anomálie. Budou ho dělat jen některé služby, které jsou špatně nastaveny, takže jim nejede Kerberos. Každý počítač má svůj Netlogon secure channel trvale jen s jedním blízkým DC. Jestli máte například jen jeden server, který z nějakého důvodu dělá NTLM ověřování (typicky ne-nastavený SQL server) - bude se ten čítač zvyšovat jen na jednom DC.
Jeho hodnota bude pak obvykle záviset na počtu TCP spojení do takové špatně nastavené služby. Samozřejmě ve velkém prostředí to může být poměrně rovnoměrné na všech DC, ale taky nemusí.
Prostě informace na nic. Krom faktu, že to ukazuje, že nějaké NTLM ověřování vůbec máte.