Rapid 7 InsightIDR and NTLM Authentication

The connection error to a SQL server event source is actually an authentication error from the InsightIDR collector to the SQL Event source.

The reason you are receiving this error is that InsightIDR only supports NTLMv1 authentication.

You will receive this error if you are using windows authentication on the SQL 2008 or lower.

There are a couple solutions that can be used to correct the error.

SOLUTION 1:

  • Upgrade the SQL version to 2012 and set the server to only use NTLMv1 authentication.

SOLUTION 2:

  • Set the server to only use NTLMv1 authentication via GPO or locally.

To set the NTLM authentication levels, please see the link below:

https://technet.microsoft.com/en-us/library/jj852207(v=ws.11).aspx

SOLUTION 3:

  • Use SQL authentication on the SQL instance on the server.

Leave a Reply