Was hat es mit dem Wegfall der NTLMv1-Unterstützung in Windows 11 auf sich?
Wenn Sie Probleme beim Verbinden mit entfernten NAS-Geräten, Servern oder Netzlaufwerken haben, liegt das möglicherweise an Microsofts Entscheidung, NTLMv1 abzuschaffen. Microsoft möchte die Nutzung sichererer Protokolle wie Kerberos fördern, doch ältere Geräte – wie NAS-Systeme, ältere Windows-Server oder Legacy-Anwendungen – verwenden weiterhin NTLMv1. Mit Windows 11 Version 24H2 und Windows Server 2025 wird die Unterstützung für NTLMv1 nun schrittweise eingestellt. Das bedeutet: Wenn Ihr Gerät oder Ihre Netzwerkkonfiguration nicht entsprechend konfiguriert ist, erhalten Sie Fehlermeldungen wie „Authentifizierung fehlgeschlagen, da die NTLM-Authentifizierung deaktiviert wurde“ oder Fehler im Zusammenhang mit Anmeldeinformationen oder nicht funktionierenden Remote-Verbindungen.
Das kann schnell zu Problemen führen, wenn man auf Systeme wie Synology- oder TrueNAS-Server angewiesen ist, die NTLMv2 noch nicht unterstützen. Die Lösung? Man muss die Firmware aktualisieren und die Server für die Verwendung von NTLMv2 oder höher konfigurieren. Bis dahin gilt es, eine Übergangslösung zu finden oder die Umgebung entsprechend vorzubereiten.
So beheben Sie NTLMv1-Verbindungsprobleme unter Windows 11
Methode 1: NTLMv2 auf Ihren Geräten aktivieren
Warum? Weil das einfache Deaktivieren von NTLMv1 dazu führt, dass Geräte, die noch darauf angewiesen sind, nicht mehr funktionieren. Wenn Sie ein älteres NAS oder einen Server besitzen, müssen Sie möglicherweise die Einstellungen anpassen, um NTLMv2 zu unterstützen. Die meisten Netzwerkgeräte verfügen über ein Firmware-Update oder eine Konfigurationsdatei, mit der Sie auf NTLMv2 umschalten können. Diese Option finden Sie üblicherweise in einem Menü wie „Sicherheitseinstellungen“ oder „Authentifizierung“. Schauen Sie in der Gerätedokumentation oder in der Benutzeroberfläche nach.
Nach dem Update versuchen Sie erneut, von Windows aus eine Verbindung herzustellen. Stellen Sie auf Ihrem Windows-Rechner sicher, dass die Netzwerksicherheit unter „LAN Manager-Authentifizierungsebene“ in der Lokalen Sicherheitsrichtlinie (oder über Gruppenrichtlinien) so eingestellt ist, dass nur NTLMv2-Antworten verwendet werden.
Network security: LAN Manager authentication level
Stellen Sie die Option so ein, dass nur NTLMv2-Antworten gesendet werden. LM und NTLM werden abgelehnt. Dadurch wird sichergestellt, dass Windows nur die neuesten Protokolle verwendet.
Bei manchen Konfigurationen hilft ein Neustart des Rechners und/oder das Löschen der zwischengespeicherten Anmeldeinformationen. Warum das funktioniert, ist unklar, aber es klappt manchmal. Wichtig ist dabei vor allem, sicherzustellen, dass Windows explizit NTLMv2 verwendet.
Methode 2: Windows-Gruppenrichtlinie anpassen, um NTLMv1 vorübergehend zuzulassen
Da Microsoft alle dazu drängt, NTLMv1 aufzugeben, man aber manchmal noch mit älteren Systemen arbeiten muss, kann es sinnvoll sein, die Richtlinie so anzupassen, dass alles funktioniert.Öffnen Sie gpedit.msc und navigieren Sie zu:
Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen
Suchen Sie unter Netzwerksicherheit: LAN Manager-Authentifizierungsebene.Ändern Sie diese auf „LM & NTLM senden – NTLMv2-Sitzungssicherheit verwenden, falls ausgehandelt, andernfalls die Option, die NTLMv1 mit Warnungen zulässt“.
Aber denken Sie daran, es handelt sich hierbei um eine Art Sicherheitskompromisse, also tun Sie es nur vorübergehend.
Option 1: Bei SMB-Freigaben NTLM explizit über PowerShell blockieren.
Warum das Ganze? Um die Verwendung von NTLMv1, insbesondere bei SMB-Verbindungen, zu verhindern, können Sie Windows so konfigurieren, dass NTLM für ausgehende Verbindungen blockiert wird und stattdessen Kerberos oder andere sichere Verfahren verwendet werden. Führen Sie dazu folgenden Befehl in PowerShell mit Administratorrechten aus:
Set-SmbClientConfiguration -BlockNTLM $true
Dieser Befehl deaktiviert NTLM für ausgehende SMB-Verbindungen. Er ist besonders bei neueren Konfigurationen hilfreich, wenn Sie befürchten, dass NTLM wieder in Ihr Netzwerk gelangt, oder wenn Sie alles auf Kerberos umstellen möchten.
Oder, falls Sie NTLM nur auf bestimmten zugeordneten Laufwerken blockieren möchten, können Sie dies sehr detailliert vornehmen:
New-SmbMapping -RemotePath \\someserver\share -BlockNTLM $true
oder über die Nutzung des Internets:
NET USE \\someserver\share /BLOCKNTLM
Dadurch wird ein Rückgriff auf NTLM verhindert und möglicherweise werden Probleme mit dem „Fallback“ behoben, die beim Verbinden mit IP-Adressen anstelle von FQDNs oder beim Zwischenspeichern alter Anmeldeinformationen auftreten können.
Methode 3: Anpassen der Registrierungseinstellungen zur domänenweiten Durchsetzung von NTLMv1.
Wenn Sie eine Domäne verwalten und proaktiv handeln möchten, sieht Microsofts Roadmap vor, dass NTLMv1 künftig vollständig blockiert wird, anstatt nur Überwachungsfunktionen zu nutzen. Sie können aber bereits jetzt mit dem Testen beginnen. Verwenden Sie dazu die Registrierung.
HKLM\SYSTEM\currentcontrolset\control\lsa\msv1_0
Setzen Sie den Wert „BlockNTLMv1SSO“ auf 1 (erzwingen).Dadurch wird NTLMv1 auf Domänencomputern blockiert. Testen Sie dies vorher gründlich – Windows macht es einem natürlich unnötig schwer.
Außerdem ist es ratsam, die Ereignisanzeigeprotokolle auf NTLM-Überwachungsereignisse unter der Ereignis-ID 4024 zu überprüfen, um zu sehen, wer noch versucht, NTLMv1 zu verwenden, und entsprechend zu planen.
Blockieren von NTLM über SMB-Verbindungen – der modernere Ansatz
Wenn Sie Bedenken hinsichtlich der Verwendung von NTLM beim Zuordnen von Laufwerken oder beim Verbinden mit freigegebenen Ordnern haben, können Sie dies unter Windows 11 oder Windows Server 2025 explizit blockieren. Verwenden Sie dazu PowerShell:
Set-SmbClientConfiguration -BlockNTLM $true
Und wenn Sie dies nur für bestimmte Freigaben tun möchten, können Sie Zuordnungen mit dieser Einstellung erstellen oder sie in der Clientkonfiguration festlegen, um sicherzustellen, dass NTLM überall blockiert wird.
Microsoft hat außerdem Gruppenrichtlinienoptionen wie „NTLM blockieren (LM, NTLM, NTLMv2)“ und eine Ausnahmeliste unter „Computerkonfiguration > Richtlinien > Administrative Vorlagen > Netzwerk > Lanman Workstation“ hinzugefügt.
Eine interessante Funktion: Sie können die Anzahl fehlgeschlagener NTLM-Anmeldungen über die Richtlinie „Ratenbegrenzung für die Authentifizierung aktivieren“ begrenzen. Dies ist ein grundlegender Schutz gegen Brute-Force-Angriffe, solange NTLM noch zulässig ist.
Zusammenfassend lässt sich sagen: Wenn Sie aufgrund der Abschaffung von NTLMv1 Verbindungsprobleme haben, bleiben Ihnen im Wesentlichen nur zwei Möglichkeiten: Geräte patchen, Windows-Sicherheitsrichtlinien anpassen oder NTLM explizit blockieren. Testen Sie aber unbedingt vorher alles gründlich – es kann nichts unerwartet kaputtgehen.
Zusammenfassung
- Aktualisieren Sie die Firmware Ihres NAS oder Servers, um NTLMv2 oder höher zu unterstützen.
- Passen Sie die Windows-Sicherheitsrichtlinien so an, dass NTLMv2 bevorzugt wird.
- Verwenden Sie PowerShell, um NTLM bei Bedarf zu blockieren.
- Überwachen Sie die Ereignisanzeige-Protokolle auf NTLM-Nutzung.
- Testumgebung vor der vollständigen Deaktivierung veralteter Protokolle
Zusammenfassung
Der Umgang mit veralteten Protokollen wie NTLMv1 ist immer ein Balanceakt. Es ist wichtig, maximale Sicherheit zu gewährleisten und gleichzeitig die einwandfreie Verbindung der Geräte sicherzustellen. Diese Optimierungen helfen Ihnen, auf dem neuesten Stand zu bleiben, ohne den Netzwerkzugriff zu beeinträchtigen. Sie sollten jedoch damit rechnen, die Einstellungen bei zukünftigen Änderungen zu überprüfen und anzupassen. Hoffentlich hilft dies allen, die nach einem Windows-Update plötzlich mit seltsamen Authentifizierungsfehlern konfrontiert sind.