从 X509Chain 构建函数触发的 NTLM 身份验证

Question

我们最近受到网络团队的质疑，原因是 AD 域控制器捕获的 NTLM 身份验证失败。这些请求是从已加入域的 Windows 2008 Server 上托管的服务之一触发的。 该服务正在使用本地系统帐户登录。这就是为什么捕获失败的 NTLM 登录的原因，因为没有使用域用户登录捕获失败的登录。但是公司政策不允许域用户登录。

使用 Wireshark 工具，我们发现请求来自 X509Chain 对象的 Build 函数。这是.NET框架提供的默认功能，我们找不到任何有用的支持文档：

1. 解释触发 NTLM 请求的原因
2. 证明请求不存在安全威胁
3. 如何在应用层进行配置以避免登录请求失败（不允许更改策略规则或 AD 审计）

部分代码（VB.NET）：

        Dim chnCerts As X509Chain = New X509Chain()
        chnCerts.ChainPolicy.RevocationFlag = X509RevocationFlag.EndCertificateOnly
        chnCerts.ChainPolicy.RevocationMode = X509RevocationMode.Online

        chnCerts.ChainPolicy.UrlRetrievalTimeout = New TimeSpan(0, 0, 120)
        chnCerts.ChainPolicy.VerificationFlags = X509VerificationFlags.NoFlag

        If certType = Crypto.CertType.PrivateKeyCert Then
            certPrivateValidationStatus = Nothing
            chnCerts.Build(certPrivate)

Answer 1

作为一名 AD 和 PKI 人员，我发现结论很可疑。链验证与 NTLM 无关。证书和 CRL（AIA 和 CDP）应该通过 HTTP 并使用匿名身份验证。可能是您的本地 PKI 配置错误，而 AIA 或 CDP 正在请求身份验证。我很想看到wireshark捕获...

Answer 2

检查您的证书属性。它可能注册了一个基于 ldap:// 的授权信息访问或 CRL 分发点端点，这些端点由 Windows 证书服务在证书属性中注册（默认情况下......当它是 CA 并且它是域附加的）。

LDAP 端点意味着（对于 Windows）“在 Active Directory 中”，因此它正在尝试访问 AD 以下载数据。如果失败，它会转到第二个条目，可能是http://。 （即使它没有被列在第一位，Windows 也可能更喜欢 LDAP 而不是 HTTP）

[1]CRL Distribution Point
 Distribution Point Name:
      Full Name:
           URL=ldap:///CN=Our%20Corp%20CA,CN=CRL,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=corp,DC=ourcorp,DC=com?certificateRevocationList?base?objectClass=cRLDistributionPoint
           URL=http://corppki/crl/Our%20Corp%20CA.crl
           URL=http://crl.ourcorp.com/crl/Our%20Corp%20CA.crl