Windows Server: April 2024-Updates stören NTLM-Authentifizierung

Windows[English]Noch ein weiterer Nachtrag vom April 2024-Patchday. Die Updates verursachen Problemen mit NTLM-Verbindungen zu Windows Server. Jedenfalls hat Microsoft entsprechende Nutzermeldungen erhalten und untersucht den Vorfall, wie das Unternehmen zum 30. April 2024 mitteilte.


Anzeige

Ich bin ebenfalls über die patchmanagement.org-Liste darauf aufmerksam geworden, dass es ein Problem mit den April 2024-Updates gibt. Microsoft hat zum 30. April 2024 auf der Windows Health-Statusseite von Windows Server 2022 den Eintrag NTLM traffic issue after installing the April 2024 security update veröffentlicht. Dort heißt es, dass Administratoren nach der Installation des Sicherheitsupdates vom April 2024 (KB5036909) auf Domänencontrollern (DCs) einen erheblichen Anstieg des NTLM-Authentifizierungsverkehrs feststellen können.

Dieses Problem betrifft laut Microsoft wahrscheinlich Organisationen, die einen sehr kleinen Prozentsatz an primären Domänencontrollern in ihrer Umgebung und einen hohen NTLM-Datenverkehr haben. Betroffen sind folgende Windows-Versionen:

Microsoft arbeitet an einer Lösung und will in einer der nächsten Versionen ein Update zur Verfügung stellen.

Kein offizieller Workaround

Einzige Möglichkeit, als Betroffener das Problem zu korrigieren, ist die Deinstallation des kumulativen Updates und die Blockade der Installation dieses und aller folgenden Updates. Zur Deinstallation des letzten kumulativen Update (LCU) ist die Befehlszeilenoption

DISM/Remove-Package xxxx

mit dem Namen (xxx) des Updates als Argument zu verwenden. Der Paketname lässt sich mit dem Befehl:

DISM /online /get-packages

ermitteln. Auf verwalteten Systemen ist dann das Update zur weiteren Installation zu sperren.


Anzeige

Ähnliche Artikel:
Microsoft Security Update Summary (9. April 2024)
Patchday: Windows 10-Updates (9. April 2024)
Patchday: Windows 11/Server 2022-Updates (9. April 2024)
Windows Server 2012 / R2 und Windows 7 (9. April 2024)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Update, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Windows Server: April 2024-Updates stören NTLM-Authentifizierung

  1. Maik sagt:

    Danke, hab mich schon gewundert warum die Anmeldung an Clients seit paar Wochen fast 3 Minuten dauert.

    • Jens sagt:

      Schau mal ob der Temp Ordner bei den Clients zu groß ist (bzw. viele Dateien hat).

      Das war bei ein paar einzelnen Clients bei mir der Fall. Tempo Ordner geleert -> schon ging die Anmeldung wieder in wenigen Sekunden.

  2. Anonym sagt:

    > einen sehr kleinen Prozentsatz an primären Domänencontrollern <

    Aus (1): "primary domain controller (PDC): A domain controller (DC) designated to track changes made to the accounts of all computers on a domain. … A domain has only one PDC."

    Insofern macht es generell keinen Sinn von einem "Prozentsatz an primären Domänencontrollern" zu sprechen.

    (1) [MS-ADTS]: Active Directory Technical Specification
    Release: January 29, 2024
    winprotocoldoc.blob.core.windows.net/productionwindowsarchives/MS-ADTS/%5bMS-ADTS%5d-240129.pdf

  3. Anonym sagt:

    > hohen NTLM-Datenverkehr <

    Ich lese das so, dass der erhöhte Verkehr nicht nur ein kosmetisches Problem darstellt, sondern mit Überlastungen/Zeitüberschreitungen einher geht. Obgleich älteren Datums vielleicht nützlich: learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/performance-tuning-ntlm-authentication-maxconcurrentapi

  4. 1ST1 sagt:

    Ich habe mal quantitativ unser Monitoring nach NTLM Anmeldungen über die letzten 90 Tage über alle DCs befragt, eine beeindruckend große Zahl, aber ein quantitatives Wachstum seit dem April-Patchday kann ich nicht erkennen, die Anzahl pro Tag "wackelt" in einer gewissen Bandbreite rauf und runter, bei übrigens null fehlgeschlagenen Anmeldungen. Die meisten Anmeldungen kommen von Service-Accounts und Computeraccounts. Also, Auswirkungen vom April-Update kann ich da jetzt nicht erkennen. Die konstante Kurve hat aber Mitte März einen Sprung um etwa 30% nach Oben gemacht, verharrt aber seit dem wieder in einem konstanten Bereich. Also, wenn was passiert ist, dann eher zum März-Patchday.

    Ich bin mal gespannt, wie das mit der endgültigen NTLM-Abschaltung durch Win 11 und Server 2025 gehen soll.

    • Joerg sagt:

      Was dann passiert: 95% aller "Enteprise-Anwendungen" fallen auf die Nase :D.

      >75% des NLTM Traffics kommt von irgendwelchen supidupu >50k € Anwendungen und brüsten sich als eNt3rPr1sE 4nW3ndUnG und wenn die dann anschreibt, dass die doch mal auf Kerberoes umstellen sollen, bekommt man nur irgendwelchen Ausreden :(

      Darunter fällt z.B. auch PRTG mit den WMI Sensoren, die nutzen auch nur NTLM (Feature Request ist seit Ewigkeiten offen bei denen: https://kb.paessler.com/en/topic/89790-open:-feature-request:-support-kerberos-authentication-for-wmi-sensors) und das zieht sich durch alle Applikationstypen, ist ja auch schön einfach mit NTLM …

      • Anonym sagt:

        >WMI Sensoren, die nutzen auch nur NTLM<
        Nur spekulativ und andeutungsweise: Schau mal auf learn.microsoft.com/en-us/windows/win32/wmisdk/setting-client-application-process-security. Dort heisst es u. a. "COM calls it implicitly with values from the registry."
        Des weiteren heisst es auf learn.microsoft.com/en-us/windows/win32/wmisdk/setting-authentication-in-wmi u. a. "run WMI with the winmgmt command with the /standalonehost switch and set the authentication level for WMI generally."
        Ich sehe in beiden Quellen das Potential zu Eingriffen, welche das 'Sicherheitsverhalten' der Paessler WMI Sensoren von aussen ändern, ohne dass Paessler neu 'authentisierungsspezifischen' Code in die Sensoren bringen müsste.

  5. viebrix sagt:

    Ich kenne mich da leider gar nicht aus, aber wodurch werden die NTLM Anmeldungen ausgelöst. Sollte das nicht Kerberos schon längst abgelöst haben? NTLM soll ja ein Sicherheitsrisiko sein?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.