Hoe NTLM-verbindingen te blokkeren op Windows 11 en Windows Server 2025

Wat is de reden dat de ondersteuning voor NTLMv1 in Windows 11 is weggevallen?

Als u problemen ondervindt met het verbinden met NAS-apparaten, servers of zelfs netwerkstations op afstand, kan dit komen door de recente beslissing van Microsoft om NTLMv1 uit te faseren. Microsoft probeert iedereen te stimuleren om over te stappen op veiligere protocollen zoals Kerberos, maar om de een of andere reden blijven oudere apparaten – zoals NAS-systemen, oude Windows-servers of legacy-applicaties – NTLMv1 gebruiken. Met Windows 11 versie 24H2 en Windows Server 2025 wordt de ondersteuning voor NTLMv1 nu uitgefaseerd. Dit betekent dat als uw apparaat of netwerkconfiguratie hier niet klaar voor is, u foutmeldingen kunt krijgen zoals ‘Authenticatie mislukt omdat NTLM-authenticatie is uitgeschakeld’ of fouten met betrekking tot referenties of mislukte externe verbindingen.

Dit kan al snel een hoofdpijn worden als je afhankelijk bent van apparaten zoals Synology of TrueNAS-servers die nog geen ondersteuning bieden voor NTLMv2. Het plan? Je zult uiteindelijk de firmware moeten updaten en ze configureren voor gebruik met NTLMv2 of hoger. Tot die tijd is het zaak om een ​​oplossing te vinden of je omgeving voor te bereiden.

Hoe los je verbindingsproblemen met NTLMv1 op in Windows 11?

Methode 1: Schakel NTLMv2 in op uw apparaten.

Waarom? Omdat het simpelweg uitschakelen van NTLMv1 problemen veroorzaakt met apparaten die er nog steeds van afhankelijk zijn. Als je een relatief oude NAS of server hebt, moet je mogelijk de instellingen aanpassen om NTLMv2 te ondersteunen. De meeste netwerkapparaten hebben een firmware-update of een configuratiebestand waarmee je kunt overschakelen naar NTLMv2. Meestal vind je dit onder een menu zoals Beveiligingsinstellingen of Authenticatie. Raadpleeg de documentatie of de beheerdersinterface van het apparaat.

Probeer na de update opnieuw verbinding te maken vanuit Windows. Zorg er op uw Windows-computer voor dat het authenticatieniveau van LAN Manager in het Lokaal beveiligingsbeleid (of via Groepsbeleid) is ingesteld op het gebruik van alleen NTLMv2-reacties.

Network security: LAN Manager authentication level

Stel dit in op ‘Alleen NTLMv2-reactie verzenden’.Weiger LM en NTLM. Dit zorgt ervoor dat Windows alleen de nieuwste protocollen pusht.

In sommige gevallen helpt het om de computer opnieuw op te starten en/of de opgeslagen referenties te wissen. Ik weet niet zeker waarom het werkt, maar soms wel. Het gaat er vooral om dat Windows expliciet NTLMv2 probeert te gebruiken.

Methode 2: Pas het Windows-groepsbeleid aan om NTLMv1 tijdelijk toe te staan.

Omdat Microsoft iedereen aanmoedigt om NTLMv1 te laten vallen, maar je soms nog steeds met verouderde systemen te maken hebt, wil je misschien het beleid net genoeg aanpassen om het werkend te krijgen. Ga naar gpedit.msc en navigeer naar:

Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties

Zoek naar Netwerkbeveiliging: authenticatieniveau LAN Manager. Wijzig dit naar LM & NTLM verzenden – gebruik NTLMv2-sessiebeveiliging indien overeengekomen, of anders de optie die NTLMv1 toestaat maar met waarschuwingen.

Maar onthoud dat dit een compromis is op het gebied van beveiliging, dus doe het alleen tijdelijk.

Optie 1: Blokkeer NTLM expliciet via PowerShell voor SMB-shares.

Waarom zou je dit doen? Omdat je, als je wilt voorkomen dat NTLMv1 wordt gebruikt, met name bij SMB-verbindingen, Windows kunt configureren om NTLM voor uitgaande verbindingen te blokkeren en zo het gebruik van Kerberos of andere beveiligde methoden af ​​te dwingen. Voer dit uit in PowerShell met beheerdersrechten:

Set-SmbClientConfiguration -BlockNTLM $true

Met dit commando wordt NTLM voor uitgaande SMB-verbindingen uitgeschakeld. Dit is handig bij nieuwere systemen, vooral als u bang bent dat NTLM uw netwerk binnendringt of als u alles via Kerberos wilt laten verlopen.

Of, als u NTLM alleen op specifieke toegewezen schijven wilt blokkeren, kunt u dit zeer gedetailleerd instellen:

New-SmbMapping -RemotePath \\someserver\share -BlockNTLM $true

of via internetgebruik:

NET USE \\someserver\share /BLOCKNTLM

Dit voorkomt terugval naar NTLM en kan problemen met terugval oplossen bij verbindingen via IP-adressen in plaats van FQDN’s of wanneer oude inloggegevens in de cache zijn opgeslagen.

Methode 3: Pas de registerinstellingen aan voor domeinbrede NTLMv1-handhaving.

Als u een domein beheert en proactief wilt handelen, geeft Microsoft aan dat ze in de toekomst zullen overstappen van audits naar het volledig blokkeren van NTLMv1, maar u kunt nu al beginnen met testen. Gebruik hiervoor het register:

HKLM\SYSTEM\currentcontrolset\control\lsa\msv1_0

Stel de waarde BlockNTLMv1SSO in op 1 (afdwingen).Hierdoor wordt NTLMv1 geblokkeerd op domeincomputers. Test dit eerst grondig, want Windows maakt het natuurlijk altijd lastiger dan nodig.

Het is ook verstandig om de gebeurtenislogboeken in de gaten te houden voor NTLM-auditgebeurtenissen met gebeurtenis-ID 4024 om te zien wie nog steeds NTLMv1 probeert te gebruiken, en daarop te anticiperen.

NTLM blokkeren via SMB-verbindingen: de modernere aanpak.

Als u zich zorgen maakt over het gebruik van NTLM bij het toewijzen van schijven of het verbinden met gedeelde mappen, kunt u dit expliciet blokkeren in Windows 11 of Windows Server 2025. Gebruik hiervoor PowerShell:

Set-SmbClientConfiguration -BlockNTLM $true

En als je dit alleen voor specifieke gedeelde mappen wilt doen, kun je toewijzingen maken met die instelling, of het instellen in de clientconfiguratie om ervoor te zorgen dat NTLM overal wordt geblokkeerd.

Microsoft heeft ook groepsbeleidsopties toegevoegd, zoals het blokkeren van NTLM (LM, NTLM, NTLMv2) en een uitzonderingslijst onder Computerconfiguratie > Beleid > Beheersjablonen > Netwerk > Lanman-werkstation.

Een interessant detail: je kunt een snelheidslimiet instellen voor mislukte NTLM-aanmeldingen via het beleid ‘ Authenticatiesnelheidslimiet inschakelen ‘.Dit is een basisbeveiliging tegen brute-force-aanvallen wanneer NTLM nog steeds is toegestaan.

Kortom: als je verbindingsproblemen ondervindt vanwege het uitfaseren van NTLMv1, kun je het beste je apparaten patchen, het beveiligingsbeleid van Windows aanpassen of NTLM expliciet blokkeren. Test in ieder geval eerst alles goed door, zodat er niets onverwachts misgaat.

Samenvatting

  • Update de firmware van uw NAS of server zodat deze NTLMv2 of hoger ondersteunt.
  • Pas het beveiligingsbeleid van Windows aan zodat NTLMv2 de voorkeur krijgt.
  • Gebruik PowerShell om NTLM te blokkeren waar nodig.
  • Controleer de gebeurtenislogboeken op NTLM-gebruik.
  • Test de omgeving voordat de verouderde protocollen volledig worden uitgeschakeld.

Samenvatting

Het omgaan met verouderde protocollen zoals NTLMv1 voelt altijd een beetje als balanceren op een dun koord. Het is essentieel om alles zo veilig mogelijk te houden en er tegelijkertijd voor te zorgen dat apparaten nog steeds correct verbinding maken. Deze aanpassingen kunnen je helpen om de ontwikkelingen voor te blijven zonder de netwerktoegang te verbreken, maar houd er rekening mee dat je de instellingen mogelijk opnieuw moet bekijken en bijwerken als er in de toekomst iets verandert. Hopelijk helpt dit iedereen die te maken krijgt met die vreemde authenticatiefouten die plotseling opduiken na een Windows-update.