NTLM X509Chainビルド機能からの認証

Question

最近、ADドメインコントローラでキャプチャされたNTLM認証に失敗したネットワークチームに挑戦されました。要求は、ドメインに参加したWindows 2008 Server上でホストされているサービスの1つから発せられました。 サービスはローカルシステムアカウントを使用してログオンしています。ドメインユーザーログインを使用してログインに失敗したため、失敗したNTLMログインが取得されたのはこのためです。しかし、ドメインユーザーのログインは、会社のポリシーで許可されていません。

Wiresharkツールを使用すると、X509Chainオブジェクトのビルド機能からの要求が検出されました。 NTLM要求が発射されている理由

が要求

どのようにからのセキュリティ上の脅威がなかった証明説明

1. ：これは.NETフレームワークが提供するデフォルトの機能であり、我々はに任意の有用なサポート文書を見つけることができません

（ポリシールール又はAD監査の変更が許可されていない）の要求に失敗したログを回避するために、アプリケーション・レベルで設定コード（VB.NET）の一部：

 Dim chnCerts As X509Chain = New X509Chain() 
     chnCerts.ChainPolicy.RevocationFlag = X509RevocationFlag.EndCertificateOnly 
     chnCerts.ChainPolicy.RevocationMode = X509RevocationMode.Online 

     chnCerts.ChainPolicy.UrlRetrievalTimeout = New TimeSpan(0, 0, 120) 
     chnCerts.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag 

     If certType = Crypto.CertType.PrivateKeyCert Then 
      certPrivateValidationStatus = Nothing 
      chnCerts.Build(certPrivate) 

Answer 1

ADとPKIの男として、私は結論が疑わしいと思う。チェーン検証はNTLMとは関係ありません。証明書とCRL（AIAとCDP）はHTTP経由であり、匿名認証を使用する必要があります。誤って設定されている自宅のPKIがあり、AIAまたはCDPが認証を要求している可能性があります。 wiresharkのキャプチャが大好きです。

Answer 2

あなたの証明書のプロパティを確認してください。おそらくldap://ベースのオーソリティ情報アクセスまたはCRL配布ポイントエンドポイントが登録されており、Windows証明書サービスによって証明書プロパティに登録されています（デフォルトでは、CAのときにドメインに接続されています）。

LDAPエンドポイントは、（Windowsの場合）「Active Directory」を意味するため、ADにアクセスしてデータをダウンロードしようとしています。それが失敗すると、おそらくhttp://である2番目のエントリに移動します。 （最初にリストされていなくても、WindowsがLDAPからHTTPを好む可能性があります）

[1]CRL Distribution Point 
Distribution Point Name: 
     Full Name: 
      URL=ldap:///CN=Our%20Corp%20CA,CN=CRL,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=corp,DC=ourcorp,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint 
      URL=http://corppki/crl/Our%20Corp%20CA.crl 
      URL=http://crl.ourcorp.com/crl/Our%20Corp%20CA.crl