Cómo bloquear conexiones NTLM en Windows 11 y Windows Server 2025

¿Qué pasa con la caída del soporte para NTLMv1 en Windows 11?

Si ha tenido problemas para conectarse a dispositivos NAS, servidores o incluso unidades de red distantes, podría deberse a la última decisión de Microsoft de descontinuar NTLMv1. En esencia, Microsoft intenta impulsar el uso de protocolos más seguros como Kerberos, pero por alguna razón, los dispositivos más antiguos (como unidades NAS, servidores Windows antiguos o aplicaciones heredadas) aún insisten en usar NTLMv1. Ahora, con Windows 11 versión 24H2 y Windows Server 2025, la compatibilidad con NTLMv1 se está eliminando gradualmente. Esto significa que, si su dispositivo o configuración de red no está listo, aparecerán errores como «Error de autenticación porque se ha deshabilitado la autenticación NTLM» o errores relacionados con credenciales o conexiones remotas que no se pueden establecer.

Esto puede convertirse rápidamente en un problema si dependes de servidores como Synology o TrueNAS que aún no son compatibles con NTLMv2.¿El plan? Con el tiempo, tendrás que actualizar el firmware y configurarlos para que usen NTLMv2 o superior. Hasta entonces, se trata de encontrar la manera de solucionar el problema o preparar tu entorno.

Cómo solucionar problemas de conexión NTLMv1 en Windows 11

Método 1: Habilite NTLMv2 en sus dispositivos

¿Por qué? Porque simplemente deshabilitar NTLMv1 daña los componentes que aún dependen de él. Si tiene un NAS o servidor bastante antiguo, podría necesitar ajustar su configuración para que sea compatible con NTLMv2. La mayoría de los dispositivos de red tienen una actualización de firmware o un archivo de configuración que permite cambiar a NTLMv2. Normalmente, lo encontrará en un menú como » Configuración de seguridad» o «Autenticación». Consulte la documentación del dispositivo o la interfaz de administración.

Una vez actualizado, intente conectarse de nuevo desde Windows. En su equipo Windows, asegúrese de que la opción Seguridad de red: Nivel de autenticación de LAN Manager en la Directiva de seguridad local (o mediante la Directiva de grupo) esté configurada para usar solo respuestas NTLMv2.

Network security: LAN Manager authentication level

Configúrelo para enviar solo respuesta NTLMv2. Rechace LM y NTLM. Esto ayuda a garantizar que Windows implemente solo los protocolos más recientes.

En algunas configuraciones, reiniciar el equipo o borrar las credenciales de la caché ayuda. No sé por qué funciona, pero a veces. Se trata más bien de asegurarse de que Windows esté probando NTLMv2 explícitamente.

Método 2: Modifique la política de grupo de Windows para permitir NTLMv1 temporalmente

Dado que Microsoft está presionando a todos para que abandonen NTLMv1, pero a veces se queda con elementos antiguos, quizá quiera ajustar la política lo suficiente para que todo funcione. Vaya a gpedit.msc y navegue a:

Configuración del equipo > Configuración de Windows > Configuración de seguridad > Directivas locales > Opciones de seguridad

Busque Seguridad de red: Nivel de autenticación de LAN Manager. Cámbielo a Enviar LM y NTLM: usar la seguridad de sesión NTLMv2 si se negocia o, de lo contrario, la que permite NTLMv1, pero con advertencias.

Pero recuerda, esto es una especie de compensación de seguridad, así que hazlo sólo temporalmente.

Opción 1: Para recursos compartidos SMB, bloquear NTLM explícitamente a través de PowerShell

¿Por qué hacer esto? Porque si desea evitar el uso de NTLMv1, especialmente en conexiones SMB, puede configurar Windows para que bloquee NTLM en las conexiones salientes, forzando el uso de Kerberos u otros métodos seguros. Ejecute esto en PowerShell con permisos de administrador:

Set-SmbClientConfiguration -BlockNTLM $true

Este comando deshabilita NTLM para conexiones SMB salientes. Es útil en configuraciones más recientes, especialmente si le preocupa que NTLM vuelva a su red o que intente forzar la configuración de todo en Kerberos.

O bien, si solo desea bloquear NTLM en unidades asignadas específicas, puede hacerlo de forma granular:

New-SmbMapping -RemotePath \\someserver\share -BlockNTLM $true

o vía uso de la red:

NET USE \\someserver\share /BLOCKNTLM

Esto evita el retorno a NTLM y puede solucionar problemas de «retorno» al conectarse con direcciones IP en lugar de FQDN o cuando se almacenan en caché credenciales antiguas.

Método 3: Ajustar la configuración del registro para la implementación de NTLMv1 en todo el dominio

Si administra un dominio y desea ser proactivo, la hoja de ruta de Microsoft indica que cambiarán las auditorías a bloquear NTLMv1 por completo, pero puede comenzar las pruebas ahora. Use el registro:

HKLM\SYSTEM\currentcontrolset\control\lsa\msv1_0

Establezca el valor BlockNTLMv1SSO en 1 (obligatorio).Esto bloqueará NTLMv1 en las máquinas del dominio. Asegúrese de realizar pruebas exhaustivas primero, ya que, por supuesto, Windows tiene que complicarlo más de lo necesario.

Además, es bueno estar atento a los registros del Visor de eventos para los eventos de auditoría NTLM en el ID de evento 4024 para ver quién todavía está intentando usar NTLMv1 y planificar en consecuencia.

Bloqueo de NTLM en conexiones SMB: el enfoque más moderno

Si le preocupa que se utilice NTLM al asignar unidades o conectarse a carpetas compartidas, puede bloquearlo explícitamente en Windows 11 o Windows Server 2025. Use PowerShell:

Set-SmbClientConfiguration -BlockNTLM $true

Y si desea hacerlo sólo para recursos compartidos específicos, puede crear asignaciones con esa configuración o configurarla en la configuración del cliente para asegurarse de que NTLM se bloquee en todas partes.

Microsoft también agregó opciones de Política de grupo como Bloquear NTLM (LM, NTLM, NTLMv2) y una Lista de excepciones en Configuración del equipo > Políticas > Plantillas administrativas > Red > Estación de trabajo Lanman.

Un dato interesante: puedes configurar un limitador de velocidad para inicios de sesión NTLM fallidos mediante la política «Habilitar limitador de velocidad de autenticación». Es una defensa básica contra ataques de fuerza bruta cuando NTLM aún está permitido.

En resumen, si tiene problemas de conexión debido a la descontinuación de NTLMv1, sus opciones se reducen a aplicar parches a sus dispositivos, ajustar las políticas de seguridad de Windows o bloquear NTLM explícitamente. Simplemente asegúrese de probar todo primero; nada falla inesperadamente.

Resumen

  • Actualice el firmware del NAS o del servidor para que sea compatible con NTLMv2 o superior
  • Ajuste las políticas de seguridad de Windows para preferir NTLMv2
  • Utilice PowerShell para bloquear NTLM donde sea necesario
  • Supervisar los registros del Visor de eventos para el uso de NTLM
  • Entorno de prueba antes de deshabilitar por completo los protocolos heredados

Resumen

Lidiar con protocolos obsoletos como NTLMv1 siempre es como andar por la cuerda floja. Es fundamental mantener todo lo más seguro posible y asegurarse de que los dispositivos sigan conectándose correctamente. Estos ajustes pueden ayudarle a mantenerse a la vanguardia sin interrumpir el acceso a la red, pero prepárese para revisar y actualizar la configuración si la situación cambia más adelante. Crucemos los dedos para que esto ayude a quienes se enfrentan a esos extraños errores de autenticación que aparecen repentinamente después de una actualización de Windows.