Hoe schakel ik NTLM-verificatie uit in een Windows-domein?

Hoe schakel je NTLMv1 en v2 uit in Active Directory en ga je volledig over op Kerberos?

Het uitschakelen van NTLM-protocollen lijkt misschien omslachtig, maar als u de beveiliging wilt verbeteren, is het een absolute noodzaak. Het is echter een delicate evenwichtsoefening, vooral omdat veel oudere systemen en zelfs sommige apparaten hardnekkig vasthouden aan NTLM. Bovendien maakt Windows het vaak lastiger dan nodig om NTLM volledig te blokkeren, waardoor het soms een proces in meerdere stappen is. Deze handleiding geeft een goed beeld van hoe u kunt achterhalen welke systemen NTLM gebruiken, hoe u beleid kunt configureren om alles naar Kerberos te laten overschakelen en waar u op moet letten. Houd er rekening mee dat sommige oudere systemen mogelijk niet meer werken nadat u NTLM hebt uitgeschakeld, maar idealiter zijn er slechts enkele configuratieaanpassingen nodig om de overstap soepel te laten verlopen. In sommige configuraties kunt u NTLMv1 volledig uitschakelen, vervolgens NTLMv2 beperken en uiteindelijk alles dwingen om Kerberos te gebruiken. Houd er rekening mee dat sommige apps of apparaten mogelijk updates of speciale uitzonderingen nodig hebben als ze weigeren met Kerberos samen te werken. Uiteindelijk zou dit hele proces een veiligere omgeving moeten creëren, vooral als u al langer op de hoogte bent van de kwetsbaarheden in NTLM.

Hoe u het NTLM-gebruik in uw domein kunt herstellen

Audit NTLM en ontdek wie het nog gebruikt.

Voordat je alle instellingen wijzigt, moet je eerst kijken welke apparaten nog NTLM gebruiken. Sommige oudere printers, netwerkscanners of NAS-apparaten versturen immers waarschijnlijk nog NTLM-reacties zonder dat ze het doorhebben. Het doel: deze apparaten identificeren en bijwerken of opnieuw configureren. Om te beginnen met controleren, moet je NTLM-logboekregistratie inschakelen op alle computers in het domein via een groepsbeleidsobject (GPO).Ga naar Standaardbeleid voor domeincontrollers en vervolgens naar: Computerconfiguratie > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties. Zoek naar Netwerkbeveiliging: NTLM beperken: NTLM-authenticatie in dit domein controleren en stel dit in op Controle van al het NTLM-verkeer inschakelen. Hierdoor worden gebeurtenissen in de Logboeken weergegeven onder Logboeken.Overstappen op Kerberos en NTLM blokkeren Zodra u weet wie nog steeds NTLM gebruikt, is de volgende stap om al het verkeer via Kerberos te laten verlopen, te beginnen met het blokkeren van NTLMv1 en vervolgens NTLMv2. U moet de wachtwoordbeleidsregels en GPO-configuraties als volgt instellen: Open gpmc.msc en bewerk vervolgens uw Standaardbeleid voor domeincontrollers. Onder: Computerconfiguratie > Beleid > Windows-instellingen > Beveiligingsinstellingen > Lokaal beleid > Beveiligingsopties Zoek en configureer: Netwerkbeveiliging: authenticatieniveau LAN Manager Hier ziet u opties zoals: – LM- en NTLM-reacties verzenden – Alleen NTLMv2-reactie verzenden – Alleen NTLMv2-reactie verzenden. LM weigeren – Alleen NTLMv2-reactie verzenden. LM en NTLM weigeren Stel dit in op “Alleen NTLMv2-reactie verzenden. LM en NTLM weigeren” (optie 6).Dit geeft al uw Windows-machines in principe de opdracht om *alleen* de meest veilige NTLMv2-methode te gebruiken en alle oudere, zwakkere protocollen te weigeren. Als u nog strengere controle wilt, kunt u het register aanpassen: typ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa en maak een DWORD aan met de naam `LmCompatibilityLevel` en stel deze in op 5 voor de meest veilige optie: “Verzend alleen NTLMv2-antwoord. Weiger LM & NTLM”. Zorg er ook voor dat beleidsregels zoals “Netwerkbeveiliging: Sla de LAN Manager-hashwaarde niet op bij de volgende wachtwoordwijziging” zijn ingeschakeld om het aanmaken van LM-hashes te voorkomen. Als u zich zorgen maakt over bepaalde servers die nog steeds NTLM nodig hebben, kunt u deze toevoegen aan een uitzonderingslijst via: Netwerkbeveiliging: NTLM beperken: Serveruitzonderingen toevoegen voor NTLM-authenticatie in dit domein. Voer de servernamen of IP-adressen in waar NTLM mogelijk nog nodig is, maar het doel is om deze lijst te beperken tot alleen de essentiële servers. En als je een Remote Desktop Gateway hebt? Zorg er dan voor dat je NTLMv1 daar ook blokkeert door de volgende registersleutel toe te voegen: bash REG add “HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core” /v EnforceChannelBinding /t REG_DWORD /d 1 /f Tot slot kun je NTLM volledig beperken in je domein door “Netwerkbeveiliging: NTLM beperken: NTLM-verificatie in dit domein” in te stellen op Alles weigeren. Maar wees gewaarschuwd: dit kan problemen veroorzaken, met name bij oudere apps of bepaalde verouderde services. Test het altijd eerst.

Volledige lockdown en bevestiging dat Kerberos zijn werk doet

Leden van de groep Beveiligde gebruikers authenticeren zich alleen via Kerberos. Het toevoegen van gebruikers aan deze groep helpt bij het controleren of Kerberos correct functioneert. Als ze blijven werken nadat NTLM is uitgeschakeld, is de missie geslaagd. Zodra het beleid is ingesteld, controleert u de gebeurtenislogboeken op gebeurtenis-ID’s 6038 (NTLM-gebruik gedetecteerd) en 4771 (Kerberos-preauthenticatiefouten) om eventuele achterblijvers of verkeerde configuraties op te sporen. Soms veroorzaakt het uitschakelen van NTLM problemen met gebruikers of inlogpogingen op bepaalde machines, vooral als apps of machines standaard NTLM gebruiken. Houd gebeurtenis-ID 4776 goed in de gaten voor NTLM-herhaalpogingen, maar controleer ook `klist sessions` in PowerShell om te zien of Kerberos-tickets naar verwachting worden uitgegeven. Als er problemen optreden, komt dat waarschijnlijk doordat een verouderde app weigert Kerberos te gebruiken of geen correcte SPN’s heeft geconfigureerd. In dat geval is het belangrijk om die apps bij te werken of opnieuw te configureren.

Samenvatting

Het volledig afschaffen van NTLM is ambitieus, maar het is een grote stap richting een veiliger netwerk. Meestal kom je er wel uit door de boosdoeners te identificeren, groepsbeleid zo in te stellen dat Kerberos de voorkeur krijgt en vervolgens grondig te testen. Houd er rekening mee dat je op sommige oudere hardware of voor gespecialiseerde applicaties mogelijk een paar uitzonderingen moet maken – onthoud dat dit zwakke punten zijn. Zodra alles is ingesteld, controleer je de gebeurtenislogboeken om er zeker van te zijn dat NTLM niet opnieuw binnensluipt. Geduld is een vereiste, vooral bij verouderde systemen. Maar als dit je domein beschermt tegen vervelende Pass-the-Hash-aanvallen of diefstal van inloggegevens, is het de moeite waard.

Samenvatting

• Schakel NTLM-auditregistratie in om te achterhalen wie NTLM nog steeds gebruikt.
• Stel GPO-beleid in om NTLMv2 te prefereren en NTLMv1 uit te schakelen.
• Update de registerinstellingen voor betere controle.
• Voeg uitzonderingsgevallen alleen toe indien nodig (verouderde applicaties).
• Controleer of Kerberos werkt door de tickets te bekijken (`klist sessions`).
• Controleer regelmatig de gebeurtenislogboeken op NTLM-gebruik.
• Houd rekening met kritieke applicaties die niet kunnen overschakelen en stel zorgvuldig uitzonderingen in.

Slotopmerking

Volledig overstappen op Kerberos kan lastig zijn, vooral in diverse omgevingen, maar het is een solide stap voor de beveiliging. Houd wel in de gaten wie NTLM nog nodig heeft en wees niet verbaasd als er updates of configuratieaanpassingen nodig zijn. Soms vormen verouderde hardware of software de grootste obstakels – maar het is de moeite waard als beveiliging belangrijk voor je is. Hopelijk helpt dit iemand om de beveiliging van zijn domein te verbeteren zonder dat alles in de war raakt.