So deaktivieren Sie die NTLM-Authentifizierung in einer Windows-Domäne

Wie man NTLMv1 und v2 in Active Directory deaktiviert und vollständig auf Kerberos umstellt

Das Deaktivieren von NTLM-Protokollen mag umständlich erscheinen, ist aber unerlässlich, wenn Sie die Sicherheit erhöhen möchten. Es erfordert jedoch Fingerspitzengefühl – insbesondere, da viele ältere Systeme und sogar einige Geräte hartnäckig an NTLM festhalten. Zudem gestaltet Windows die vollständige Abschaltung von NTLM oft unnötig kompliziert, sodass der Prozess mitunter mehrere Schritte erfordert. Diese Anleitung soll Ihnen einen guten Überblick darüber geben, wie Sie NTLM-Nutzer identifizieren, Richtlinien für die Umstellung auf Kerberos konfigurieren und worauf Sie achten sollten. Rechnen Sie damit, dass nach der Deaktivierung von NTLM einige ältere Anwendungen nicht mehr funktionieren – idealerweise sind jedoch nur kleinere Konfigurationsanpassungen nötig, um den Wechsel reibungslos zu gestalten. In manchen Konfigurationen können Sie zunächst NTLMv1 vollständig deaktivieren, dann NTLMv2 einschränken und schließlich die Verwendung von Kerberos erzwingen. Beachten Sie, dass einige Anwendungen oder Geräte möglicherweise Updates oder spezielle Ausnahmen benötigen, wenn sie die Nutzung von Kerberos verweigern. Letztendlich sollte dieser gesamte Prozess eine sicherere Umgebung schaffen, insbesondere wenn Ihnen die NTLM-Schwachstellen schon länger bekannt sind.

So beheben Sie das Problem der NTLM-Nutzung in Ihrer Domäne

Überprüfen Sie NTLM und finden Sie heraus, wer es noch verwendet.

Bevor Sie alle Einstellungen ändern, sollten Sie zunächst prüfen, welche Geräte noch NTLM verwenden.Ältere Drucker, Netzwerkscanner oder bestimmte NAS-Geräte senden wahrscheinlich unbewusst NTLM-Antworten. Ziel ist es, diese Geräte zu identifizieren und zu aktualisieren oder neu zu konfigurieren. Um die Überwachung zu starten, aktivieren Sie die NTLM-Protokollierung auf allen Domänencomputern per Gruppenrichtlinie.Öffnen Sie die Standardrichtlinie für Domänencontroller und navigieren Sie zu: Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen. Suchen Sie nach Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne überwachen und aktivieren Sie die Option „ Überwachung des gesamten NTLM-Datenverkehrs aktivieren “.Dadurch werden Ereignisse in der Ereignisanzeige protokolliert.Umstellung auf Kerberos und Abschaltung von NTLM: Sobald Sie wissen, wer noch NTLM verwendet, erzwingen Sie die gesamte Authentifizierung über Kerberos. Blockieren Sie zunächst NTLMv1 und anschließend NTLMv2. Konfigurieren Sie die Kennwortrichtlinien und Gruppenrichtlinienobjekte (GPOs) wie folgt: Öffnen Sie gpmc.msc und bearbeiten Sie die Standardrichtlinie für Domänencontroller. Unter: Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen finden und konfigurieren Sie: Netzwerksicherheit: LAN Manager-Authentifizierungsebene. Hier sehen Sie Optionen wie: – LM- und NTLM-Antworten senden – Nur NTLMv2-Antwort senden – Nur NTLMv2-Antwort senden, LM ablehnen – Nur NTLMv2-Antwort senden, LM und NTLM ablehnen. Wählen Sie hier „Nur NTLMv2-Antwort senden, LM und NTLM ablehnen“ (Option 6).Das weist Ihre Windows-Rechner an, *ausschließlich* die sicherste NTLMv2-Methode zu verwenden und alle älteren, schwächeren Protokolle abzulehnen. Für eine noch präzisere Steuerung können Sie die Registrierung anpassen: Öffnen Sie den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa und erstellen Sie einen DWORD-Wert namens `LmCompatibilityLevel`. Setzen Sie diesen auf 5 für die sicherste Option – „Nur NTLMv2-Antwort senden. LM & NTLM ablehnen“. Stellen Sie außerdem sicher, dass Richtlinien wie „Netzwerksicherheit: LAN Manager-Hashwert bei der nächsten Kennwortänderung nicht speichern“ aktiviert sind, um die Erstellung von LM-Hashes zu verhindern. Falls Sie befürchten, dass bestimmte Server weiterhin NTLM benötigen, können Sie diese über folgende Einstellungen zu einer Ausnahmeliste hinzufügen: Netzwerksicherheit: NTLM einschränken: Serverausnahmen für die NTLM-Authentifizierung in dieser Domäne hinzufügen. Geben Sie die Servernamen oder IP-Adressen ein, für die NTLM möglicherweise noch erforderlich ist. Ziel ist es jedoch, die Liste auf die unbedingt notwendigen Server zu beschränken. Und falls Sie ein Remotedesktopgateway verwenden: Stellen Sie sicher, dass Sie NTLMv1 auch dort verhindern, indem Sie folgenden Registrierungsschlüssel hinzufügen: `bash REG add „HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core“ /v EnforceChannelBinding /t REG_DWORD /d 1 /f`.Alternativ können Sie NTLM in Ihrer Domäne vollständig einschränken, indem Sie „Netzwerksicherheit: NTLM einschränken: NTLM-Authentifizierung in dieser Domäne“ auf Alle verweigern setzen. Beachten Sie jedoch, dass dies zu Problemen führen kann, insbesondere bei älteren Anwendungen oder bestimmten Legacy-Diensten. Testen Sie daher immer zuerst.

Vollständiger Lockdown und Bestätigung, dass Kerberos funktioniert

Mitglieder der Gruppe Geschützte Benutzer authentifizieren sich ausschließlich über Kerberos. Das Hinzufügen von Benutzern zu dieser Gruppe hilft zu überprüfen, ob Kerberos ordnungsgemäß funktioniert. Wenn die Benutzer auch nach Deaktivierung von NTLM weiterhin funktionieren, ist das Ziel erreicht. Sobald die Richtlinien eingerichtet sind, überwachen Sie Ihre Ereignisprotokolle auf die Ereignis-IDs 6038 (NTLM-Nutzung erkannt) und 4771 (Fehler bei der Kerberos-Vorauthentifizierung), um eventuelle Nachzügler oder Fehlkonfigurationen zu erkennen. Manchmal führt die Deaktivierung von NTLM zu Benutzersperrungen oder Anmeldeproblemen auf bestimmten Rechnern – insbesondere, wenn Anwendungen oder Rechner standardmäßig NTLM verwenden. Behalten Sie die Ereignis-ID 4776 für NTLM-Wiederholungsversuche im Auge und überprüfen Sie außerdem mit dem Befehl `klist sessions` in PowerShell, ob Kerberos-Tickets wie erwartet ausgestellt werden. Wenn Probleme auftreten, liegt dies wahrscheinlich daran, dass eine ältere Anwendung die Verwendung von Kerberos verweigert oder nicht über die korrekten SPNs verfügt. In diesem Fall müssen diese Anwendungen aktualisiert oder neu konfiguriert werden.

Zusammenfassung

Die vollständige Abschaffung von NTLM ist zwar ambitioniert, aber ein wichtiger Schritt hin zu einem sichereren Netzwerk. In der Regel erreicht man dieses Ziel, indem man die Schwachstellen identifiziert, Gruppenrichtlinien so konfiguriert, dass Kerberos bevorzugt wird, und anschließend gründlich testet. Beachten Sie, dass Sie bei älterer Hardware oder speziellen Anwendungen möglicherweise einige Ausnahmen einrichten müssen – denken Sie daran, dass dies potenzielle Schwachstellen sind. Sobald alles eingerichtet ist, überwachen Sie die Ereignisprotokolle, um sicherzustellen, dass NTLM nicht wieder unbemerkt eingeschleust wird. Geduld ist hierbei entscheidend, insbesondere bei älteren Systemen. Aber wenn dies Ihre Domäne vor gefährlichen Pass-the-Hash-Angriffen oder dem Diebstahl von Anmeldeinformationen schützt, ist es die Mühe wert.

Zusammenfassung

• Aktivieren Sie die NTLM-Audit-Protokollierung, um festzustellen, wer NTLM noch verwendet.
• Legen Sie in den Gruppenrichtlinien fest, dass NTLMv2 bevorzugt und NTLMv1 deaktiviert wird.
• Aktualisieren Sie die Registrierungseinstellungen für eine bessere Kontrolle.
• Ausnahmefälle nur bei Bedarf hinzufügen (ältere Anwendungen).
• Stellen Sie sicher, dass Kerberos funktioniert, indem Sie die Tickets überprüfen (`klist sessions`).
• Überwachen Sie regelmäßig die Ereignisprotokolle auf NTLM-Nutzung.
• Berücksichtigen Sie kritische Anwendungen, die nicht umgeschaltet werden können, und legen Sie Ausnahmen sorgfältig fest.

Schlussbemerkung

Die vollständige Umstellung auf Kerberos kann knifflig sein, insbesondere in heterogenen Umgebungen, ist aber ein solider Schritt in Sachen Sicherheit. Behalten Sie im Auge, wer noch NTLM benötigt, und wundern Sie sich nicht, wenn Updates oder Konfigurationsanpassungen erforderlich sind. Manchmal stellen veraltete Hardware oder Software die größten Hürden dar – dennoch lohnt sich der Aufwand, wenn Sicherheit wichtig ist. Hoffentlich hilft dies jemandem, seine Domänenverteidigung zu verbessern, ohne alles zu beeinträchtigen.