Die Sicherheit von IT-Infrastrukturen ist eine ständige Herausforderung, insbesondere wenn es um veraltete Technologien geht. Eines dieser Themen ist das NTLM-Authentifizierungsprotokoll, das seit Jahrzehnten eine zentrale Rolle in Windows-Umgebungen spielt, aber auch erhebliche Sicherheitsrisiken birgt. Mit den bevorstehenden Updates für Windows 11, Version 24H2 und Windows Server 2025 leitet Microsoft nun eine wichtige Phase des Übergangs ein.
Als Systemadministrator oder IT-Verantwortlicher stehen Sie vor der Aufgabe, Ihre Infrastruktur proaktiv auf diese Veränderungen vorzubereiten. Dieser Artikel bietet Ihnen eine umfassende Analyse der kommenden NTLM-Änderungen und eine praxisorientierte Anleitung, wie Sie Ihre Systeme sichern und gleichzeitig die Kompatibilität gewährleisten. Wir beleuchten, warum die Änderungen notwendig sind, welche neuen Gruppenrichtlinien und Registrierungsschlüssel zur Verfügung stehen und welche konkreten Schritte Sie jetzt unternehmen müssen, um Ihre Umgebung zu schützen.
Warum Microsoft NTLM ändert: Ein Blick auf die Sicherheitslücken
Das NTLM (NT Lan Manager)-Protokoll stammt aus den frühen 1990er Jahren und ist ein Relikt aus einer Zeit, in der Netzwerksicherheit eine ganz andere Bedeutung hatte. Obwohl es im Laufe der Jahre Verbesserungen gab, wie etwa der Übergang von NTLMv1 zu NTLMv2, bleibt das Protokoll im Vergleich zu moderneren Alternativen wie Kerberos anfällig für Angriffe.
Die Hauptschwächen von NTLMv1 liegen in seiner Anfälligkeit für:
- Relay-Angriffe (NTLM Relay Attack): Angreifer können sich zwischen einem Client und einem Server positionieren und Anmeldeinformationen abfangen und weiterleiten.
- Brute-Force-Angriffe: Schwache Passwörter sind leicht zu knacken, da NTLM eine vergleichsweise schwache kryptografische Hash-Funktion verwendet.
- Man-in-the-Middle-Angriffe: Ohne die richtigen Sicherheitsmaßnahmen können Angreifer die Kommunikationsverbindung zwischen einem Client und einem Server übernehmen und manipulieren.
Um diese Risiken zu minimieren, hat Microsoft bereits seit langem den Übergang zu Kerberos empfohlen. Die neuen Richtlinien sind ein weiterer, entscheidender Schritt, um NTLMv1 endgültig aus den Unternehmensnetzwerken zu verbannen.
Die neuen Richtlinien in Windows 11 24H2 und Windows Server 2025
Mit den kommenden Betriebssystem-Updates führt Microsoft zwei neue, explizite Einstellungsoptionen ein, um die Verwendung von NTLMv1 zu kontrollieren. Diese sind über dedizierte Gruppenrichtlinien und die Windows-Registrierung verfügbar. Die neuen Kontrollen sollen Administratoren die Möglichkeit geben, die Kompatibilität zu prüfen und NTLMv1 sicher zu deaktivieren, ohne dabei die Funktion älterer Anwendungen zu gefährden.
Die neuen Registrierungsschlüssel im Detail
Die neuen Registrierungsschlüssel befinden sich unter dem Pfad HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0. Es handelt sich um zwei separate DWORD-Werte:
RestrictSendingNTLMTV1: Dieser Wert steuert, ob das Betriebssystem NTLMv1-Antworten anfordert und versendet.RestrictReceivingNTLMTV1: Dieser Wert steuert, ob das Betriebssystem NTLMv1-Anmeldeinformationen von Clients akzeptiert.
Diese Schlüssel können folgende Werte annehmen:
0(Standard): Das System verhält sich wie bisher und ermöglicht die Verwendung von NTLMv1.1: Das System verhält sich wie Wert0, schreibt aber Ereignisse in das Windows-Ereignisprotokoll.2: Das System verhält sich wie Wert0, schreibt aber Ereignisse mit detaillierten Informationen in das Ereignisprotokoll.3: Das System verweigert das Senden und Empfangen von NTLMv1-Anmeldeinformationen und schreibt Ereignisse in das Protokoll.4: Das System verweigert das Senden und Empfangen von NTLMv1-Anmeldeinformationen.
Wichtig: Der Wert 3 ist besonders nützlich für die Test- und Auditphase, da er die Protokollierung von Inkompatibilitäten ermöglicht, bevor Sie NTLMv1 vollständig blockieren.
NTLM-Gruppenrichtlinien für Administratoren
Die oben genannten Registrierungsschlüssel werden durch neue Gruppenrichtlinien (GPOs) verwaltet, was die Konfiguration in größeren Umgebungen erheblich vereinfacht. Diese finden Sie in der Gruppenrichtlinienverwaltungskonsole unter:
Computer Configuration -> Policies -> Administrative Templates -> System -> Credential Delegation -> Restrict NTLMv1
Diese GPO bietet zwei Einstellungen, die den oben genannten Registrierungsschlüsseln entsprechen:
- „Restrict incoming NTLMv1 authentication“ (Entspricht
RestrictReceivingNTLMTV1) - „Restrict outgoing NTLMv1 authentication“ (Entspricht
RestrictSendingNTLMTV1)
Jede dieser Einstellungen kann auf eine der oben beschriebenen Stufen (von 0 bis 4) konfiguriert werden. Die GPOs sind das bevorzugte Werkzeug für die Implementierung dieser Änderungen, da sie eine zentrale Verwaltung ermöglichen und die Konsistenz über alle Systeme hinweg sicherstellen.
Was Systemadministratoren jetzt tun müssen: Eine Schritt-für-Schritt-Anleitung
Der Übergang von NTLMv1 erfordert eine sorgfältige Planung, um Unterbrechungen im Geschäftsbetrieb zu vermeiden. Hier ist eine empfohlene Vorgehensweise, die Sie in Ihrer Umgebung anwenden sollten.
Schritt 1: Überprüfung und Bestandsaufnahme
Bevor Sie Änderungen vornehmen, müssen Sie wissen, ob und wo NTLMv1 in Ihrer Umgebung noch verwendet wird. Ältere Legacy-Anwendungen, IoT-Geräte oder bestimmte Netzwerkdienste können immer noch auf das veraltete Protokoll angewiesen sein.
- Aktivieren Sie die Protokollierung: Beginnen Sie, indem Sie die neuen Gruppenrichtlinien auf den Wert
1oder2setzen. Dies ermöglicht die Protokollierung von NTLMv1-Anmeldungen im Ereignisprotokoll, ohne die Funktionalität zu beeinträchtigen. - Überwachen Sie das Ereignisprotokoll: Suchen Sie in den Ereignisprotokollen Ihrer Windows-Clients und Server nach relevanten Einträgen. Die Ereignis-ID
4776ist ein guter Ausgangspunkt, um Anmeldeereignisse zu finden, die auf eine NTLMv1-Authentifizierung hinweisen. - Identifizieren Sie die Problemquellen: Analysieren Sie die gesammelten Daten, um Clients, Server oder Anwendungen zu identifizieren, die weiterhin NTLMv1 verwenden. Kontaktieren Sie die Hersteller der betroffenen Software, um zu erfahren, ob ein Update oder eine alternative Konfiguration verfügbar ist.
Schritt 2: Richtlinien implementieren und testen
Nachdem Sie die Problemquellen identifiziert haben, können Sie die neuen Richtlinien schrittweise implementieren.
- Testen in einer isolierten Umgebung: Beginnen Sie, die Richtlinie mit dem Wert
3(Blockieren und Protokollieren) in einer kleinen Testumgebung anzuwenden. Dies simuliert die Blockierung und ermöglicht Ihnen, die Auswirkungen auf die betroffenen Anwendungen zu testen, bevor Sie die Änderungen in der gesamten Umgebung ausrollen. - Schrittweiser Rollout: Rollen Sie die Richtlinie schrittweise auf Ihre Clients und Server aus, beginnend mit den am wenigsten kritischen Systemen. Überwachen Sie dabei kontinuierlich die Ereignisprotokolle.
- Vollständige Blockierung: Sobald Sie sicher sind, dass keine kritischen Anwendungen mehr auf NTLMv1 angewiesen sind, können Sie die Richtlinie auf den Wert
4setzen, um NTLMv1-Verbindungen vollständig zu blockieren.
Schritt 3: Übergang zu moderneren Protokollen
Die neuen Richtlinien sind ein Werkzeug, um NTLMv1 zu deaktivieren, aber die langfristige Lösung ist der Übergang zu modernen, sicheren Authentifizierungsprotokollen.
Die bevorzugte Alternative zu NTLM ist Kerberos. Als Standard-Authentifizierungsprotokoll für Active Directory bietet Kerberos eine Reihe von Vorteilen:
- Höhere Sicherheit: Kerberos verwendet stärkere kryptografische Algorithmen und einen Zeitstempel, um Relay-Angriffe und Brute-Force-Versuche zu verhindern.
- Gegenseitige Authentifizierung: Client und Server authentifizieren sich gegenseitig, was die Identität beider Parteien sicherstellt und Man-in-the-Middle-Angriffe erschwert.
- Skalierbarkeit: Kerberos ist für große Netzwerke konzipiert und skaliert besser als NTLM.
Stellen Sie sicher, dass alle Ihre Clients und Server korrekt für die Verwendung von Kerberos konfiguriert sind. In den meisten modernen Windows-Umgebungen ist Kerberos bereits standardmäßig aktiviert, aber ältere oder nicht standardmäßige Konfigurationen können eine manuelle Anpassung erfordern.
NTLM-Timeline: Der Weg zur Deaktivierung
Die von Microsoft im Support-Artikel veröffentlichte Roadmap gibt einen klaren Überblick über die erwarteten Schritte und Zeitpunkte zur Deaktivierung von NTLMv1.
- September 2025: Der Rollout der neuen Einstellungen beginnt. In Windows 11, Version 24H2 und neueren Client-Betriebssystemen wird die Überwachung (Audit-Modus) für die NTLMv1-Nutzung standardmäßig aktiviert. Anmeldeinformationen, die NTLMv1-abgeleitete Kryptografie verwenden, werden im Ereignisprotokoll mit der Event ID 4024 protokolliert.
- November 2025: Der Rollout dieser Änderungen beginnt auch für Windows Server 2025.
- Oktober 2026: Der Standardwert des Registrierungsschlüssels
BlockNTLMv1SSOwird durch ein zukünftiges Windows-Update von0(Audit-Modus) auf1(Enforce-Modus) geändert. Diese Änderung tritt nur in Kraft, wenn der Schlüssel nicht manuell bereitgestellt wurde, was die NTLMv1-Einschränkungen weiter verschärft.
Fazit: Jetzt handeln, um die Sicherheit zu erhöhen
Die neuen NTLM-Gruppenrichtlinien und Registrierungsschlüssel in Windows 11 24H2 und Windows Server 2025 sind ein klarer Hinweis von Microsoft: Das Ende für NTLMv1 rückt näher. Diese Änderungen sind nicht nur eine Empfehlung, sondern ein notwendiger Schritt, um Ihre IT-Infrastruktur vor bekannten und potenziellen Sicherheitsbedrohungen zu schützen.
Das Ignorieren dieser Updates kann zu einer wachsenden Sicherheitslücke in Ihrem Netzwerk führen. Die neuen Tools geben Ihnen die Kontrolle, diesen Übergang sicher und effizient zu gestalten. Beginnen Sie jetzt mit der Überwachung Ihrer Umgebung, identifizieren Sie Legacy-Abhängigkeiten und planen Sie den Übergang zu moderneren, robusteren Authentifizierungsmethoden wie Kerberos.
Dieser proaktive Ansatz stellt sicher, dass Ihre Systeme nicht nur kompatibel mit den neuesten Windows-Updates sind, sondern auch den höchsten Sicherheitsstandards entsprechen.