NTLM (NT LAN Manager) ist seit Jahrzehnten ein fester Bestandteil von Microsoft-Umgebungen – doch dieses Authentifizierungsprotokoll hat ausgedient. Angesichts bekannter Sicherheitslücken und moderner Alternativen wie Kerberos sollten IT-Administratoren NTLM nicht mehr als Standard akzeptieren. Die Deaktivierung dieses veralteten Protokolls reduziert nicht nur das Risiko von Angriffen, sondern entspricht zudem aktuellen Compliance-Vorgaben wie dem CIS Benchmark oder dem NIST-Standard. Doch wie setzt man diesen Sicherheitsupgrade praktisch um?
Warum NTLM heute ein Sicherheitsrisiko darstellt
NTLM wurde in den 1990er-Jahren entwickelt und war damals ein Fortschritt gegenüber älteren Authentifizierungsmethoden. Doch die technologische Landschaft hat sich seither radikal verändert. Heute nutzen moderne Betriebssysteme und Cloud-Dienste leistungsfähigere Protokolle, die NTLM in puncto Sicherheit deutlich übertreffen.
Die Hauptprobleme von NTLM lassen sich wie folgt zusammenfassen:
- Bekannte Schwachstellen: NTLM ist anfällig für Pass-the-Hash-Angriffe, bei denen Angreifer gestohlene Anmeldeinformationen für die Übernahme von Konten nutzen.
- Fehlende Verschlüsselung: Im Gegensatz zu Kerberos verschlüsselt NTLM die Kommunikation zwischen Client und Server nicht ausreichend, was Man-in-the-Middle-Angriffe begünstigt.
- Veraltete Architektur: NTLM unterstützt keine modernen Sicherheitsfunktionen wie Multi-Faktor-Authentifizierung (MFA) oder Zero-Trust-Prinzipien.
Unternehmen, die NTLM weiterhin aktiviert lassen, erhöhen damit bewusst ihr Angriffsrisiko. Studien zeigen, dass über 60 % der in Active-Directory-Umgebungen auftretenden Sicherheitsvorfälle auf veraltete Authentifizierungsprotokolle zurückzuführen sind. Die Deaktivierung von NTLM ist daher kein optionaler, sondern ein essenzieller Schritt zur Risikominimierung.
Schritt-für-Schritt-Anleitung: NTLM in Windows deaktivieren
Microsoft empfiehlt seit Windows Server 2012 R2 und Windows 10, NTLM zugunsten von Kerberos zu reduzieren. Die vollständige Deaktivierung erfordert jedoch eine sorgfältige Planung, da einige Legacy-Anwendungen weiterhin auf NTLM angewiesen sein könnten.
Methode 1: Lokale Gruppenrichtlinie anpassen
Der einfachste Weg, NTLM auszugrenzen, führt über die Gruppenrichtlinienverwaltung:
- Öffnen Sie die Eingabeaufforderung als Administrator und führen Sie
gpedit.mscaus. - Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Lokale Richtlinien > Sicherheitsoptionen.
- Suchen Sie nach der Richtlinie Netzwerksicherheit: Einschränkung des ausgehenden NTLM-Verkehrs zu Remote-Servern.
- Aktivieren Sie die Richtlinie und wählen Sie die Option Alle verweigern aus.
Diese Einstellung blockiert alle ausgehenden NTLM-Verbindungen zu externen Servern und zwingt Anwendungen, auf Kerberos oder andere moderne Protokolle umzusteigen.
Methode 2: Registry-Änderungen vornehmen
Für zentralisierte Umgebungen oder automatisierte Bereitstellungen eignet sich die Registry:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RestrictSendingNTLMTraffic"=dword:00000002Der Wert 2 steht für die vollständige Deaktivierung des NTLM-Ausgangsverkehrs. Führen Sie diesen Schritt nur durch, wenn Sie sicher sind, dass keine kritischen Anwendungen davon betroffen sind.
Wichtige Vorarbeiten
Bevor Sie NTLM deaktivieren, sollten Sie folgende Maßnahmen ergreifen:
- Inventarisierung aller Dienste: Identifizieren Sie alle Anwendungen, Server und Benutzerkonten, die derzeit NTLM nutzen. Tools wie Microsofts Process Monitor oder NetMon helfen dabei.
- Kompatibilitätstests: Simulieren Sie die Deaktivierung in einer Testumgebung, um unerwartete Ausfälle zu erkennen.
- Dokumentation: Halten Sie fest, welche Systeme betroffen sind und welche Ausweichlösungen (z. B. Kerberos-Konfiguration) Sie geplant haben.
Linux-Systeme: NTLM durch Kerberos ersetzen
In hybriden Umgebungen, in denen Linux-Clients mit Active Directory integriert sind, spielt NTLM oft eine untergeordnete Rolle. Dennoch sollte es auch hier deaktiviert werden, um einheitliche Sicherheitsstandards zu gewährleisten. Der Schlüssel liegt in der korrekten Konfiguration von SSSD (System Security Services Daemon) und PAM (Pluggable Authentication Modules).
SSSD für Active Directory optimieren
Die Datei /etc/sssd/sssd.conf muss so angepasst werden, dass Kerberos als primäres Authentifizierungsprotokoll genutzt wird:
[sssd]
config_file_version = 2
services = nss, pam
domains = beispiel.de
[domain/beispiel.de]
id_provider = ad
auth_provider = ad
access_provider = ad
chpass_provider = ad
ldap_id_mapping = False
use_fully_qualified_names = True
fallback_homedir = /home/%u
default_shell = /bin/bash
ldap_sasl_mech = GSSAPI
ldap_sasl_authid = host/server1@BEISPIEL.DEWichtige Einstellungen im Detail:
- `auth_provider = ad`: Stellt sicher, dass Active Directory Kerberos für die Authentifizierung verwendet.
- `ldap_sasl_mech = GSSAPI`: Erzwingt die Verwendung des GSSAPI-Mechanismus, der auf Kerberos basiert.
- `ldap_sasl_authid`: Definiert das Service-Hauptprinzipal, das für die Kerberos-Authentifizierung erforderlich ist.
Nach Änderungen an der Konfigurationsdatei muss der SSSD-Dienst neu gestartet werden:
sudo systemctl restart sssdPAM-Konfiguration anpassen
Stellen Sie sicher, dass PAM nicht auf NTLM als Fallback zurückgreift. Überprüfen Sie die Datei /etc/pam.d/common-session und entfernen Sie gegebenenfalls NTLM-bezogene Module wie pam_ntlm.so.
Langfristige Sicherheit: NTLM-Überwachung und Alternativen
Die Deaktivierung von NTLM ist kein einmaliger Vorgang, sondern Teil eines kontinuierlichen Sicherheitsprozesses. Nach der Umsetzung sollten Sie folgende Maßnahmen ergreifen:
- Regelmäßige Audits: Nutzen Sie Tools wie Microsoft Defender for Identity oder SIEM-Lösungen, um verdächtige NTLM-Authentifizierungsversuche zu erkennen.
- Ersatzprotokolle evaluieren: Kerberos ist die naheliegendste Alternative, aber in bestimmten Szenarien (z. B. Linux-Umgebungen) können auch LDAP mit SASL oder OpenID Connect sinnvoll sein.
- Schulungen für Administratoren: Sensibilisieren Sie Ihr Team für die Risiken veralteter Protokolle und die Vorteile moderner Authentifizierungsmethoden.
Die IT-Sicherheitslandschaft entwickelt sich rasant. Während NTLM heute noch in vielen Unternehmen im Einsatz ist, wird es in den kommenden Jahren zunehmend als veraltet gelten. Wer heute handelt, schützt nicht nur seine Infrastruktur, sondern positioniert sich auch für zukünftige Compliance-Anforderungen. Der Weg zu einer NTLM-freien Umgebung mag herausfordernd sein – doch die Investition in Sicherheit zahlt sich langfristig aus.
KI-Zusammenfassung
Active Directory ve Windows ağlarında NTLM'yi devre dışı bırakarak ağ güvenliğinizi artırın. Windows ve Linux sistemlerinde uygulama adımları ve önemli ipuçları.
