02-10-2025, 06:55 AM
News So killen Sie NTLM
<div id="remove_no_follow">
<div class="grid grid--cols-10@md grid--cols-8@lg article-column">
<div class="col-12 col-10@md col-6@lg col-start-3@lg">
<div class="article-column__content">
<section class="wp-block-bigbite-multi-title"><div class="container"></div></section>
<div class="extendedBlock-wrapper block-coreImage undefined"><figure class="wp-block-image size-large"><img loading="lazy" decoding="async" src="https://b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?quality=50&strip=all&w=1024" alt="Netzwerk Frau 16z9 DE Only" class="wp-image-3816387" srcset="https://b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?quality=50&strip=all 7059w, https://b2b-contenthub.com/wp-content/up...;strip=all 300w, https://b2b-contenthub.com/wp-content/up...;strip=all 768w, https://b2b-contenthub.com/wp-content/up...;strip=all 1024w, https://b2b-contenthub.com/wp-content/up...;strip=all 1536w, https://b2b-contenthub.com/wp-content/up...;strip=all 2048w, https://b2b-contenthub.com/wp-content/up...;strip=all 1240w, https://b2b-contenthub.com/wp-content/up...;strip=all 150w, https://b2b-contenthub.com/wp-content/up...;strip=all 854w, https://b2b-contenthub.com/wp-content/up...;strip=all 640w, https://b2b-contenthub.com/wp-content/up...;strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px" /><figcaption class="wp-element-caption">Netzwerksicherheit und NTLM gehen nicht gut zusammen.</figcaption></figure><p class="imageCredit">PeopleImages.com – Yuri A | shutterstock.com</p></div>
<p>Im Jahr 1991 beendete Microsoft seine Partnerschaft mit IBM und damit auch die gemeinsame Entwicklungsarbeit an OS/2, um sich seinem <a href="https://www.computerwoche.de/article/2729543/die-windows-geschichte-von-1-0-bis-10.html" title="eigenen Betriebssystem" target="_blank">eigenen Betriebssystem</a> zu widmen. Dieses Bestreben gipfelte 1993 im Release von Windows NT, das standardmäßig das Authentifizierungsprotokoll New Technology LAN Manager, kurz <a href="https://de.wikipedia.org/wiki/NTLM" title="NTLM" target="_blank" rel="noopener">NTLM</a>, verwendete. Im Laufe des nächsten Jahrzehnts entwickelte sich NTLM zu Microsofts erster Anlaufstelle in Sachen Single Sign-On (<a href="https://www.computerwoche.de/article/2778438/wunderwaffe-sso.html" title="SSO" target="_blank">SSO</a>) – lange, bevor das Verfahren zur Benutzeridentifizierung zu einer eigenen Produktkategorie wurde.</p>
<p>Das Problem: NTLM ist weiterhin tief in der Windows-Welt verankert – und auch wegen seines Alters risikobehaftet. Die Folge sind beispielsweise <a href="https://www.youtube.com/watch?v=jWeOLGUw4U4" title="NTLM-Relay-Angriffe" target="_blank" rel="noopener">NTLM-Relay-Angriffe</a>. Die NTLM-Alternative Kerberos wird auf der anderen Seite (noch) nicht durchgängig unterstützt und auch die Option, NTLM über <a href="https://www.csoonline.com/article/3491628/cross-tenant-synchronisation-cts-forscher-warnen-vor-laxen-azure-ad-richtlinien.html" title="Azure Active Directory" target="_blank">Azure Active Directory</a> zu deaktivieren, ist nicht immer die beste.</p>
<p>Im Folgenden lesen Sie, wie sich NTLM definiert, welche Risiken es aufwirft und welche Möglichkeiten sich Ihnen bieten, das unsichere Protokoll ein für alle mal zu eliminieren. Eines vorweg: Letzteres zu zu realisieren, stellt keine leichte Aufgabe dar.</p>
<h3 class="wp-block-heading" id="was-ist-ntlm">Was ist NTLM?</h3>
<p>Bei <a href="https://davenport.sourceforge.net/ntlm.html" title="NTLM" target="_blank" rel="noopener">NTLM</a> handelt es sich um eine Suite von Authentifizierungs- und Security-Protokollen, die in diversen Microsoft-Netzwerkprotokoll-Implementierungen zur Anwendung kommt. NTLM ist unter anderem Bestandteil des “Integrated Windows Authentication Stack” für die http-Authentifizierung. Darüber hinaus kommt es auch in folgenden Microsoft-Implementierungen zum Einsatz:</p>
<ul class="wp-block-list">
<li><p>SMTP,</p></li>
<li><p>POP3,</p></li>
<li><p>IMAP,</p></li>
<li><p>CIFS/SMB,</p></li>
<li><p>Telnet und</p></li>
<li><p>SIP.</p></li>
</ul>
<p>Dabei weckt NTLM Erinnerungen an eine andere Konnektivitäts-Ära, als Netzwerke nicht mehr als lokale Verbindungen zu Datei- und Drucker-Servern darstellten. Dieser lokale Fokus sollte sich auch als wesentlicher Nachteil für Sicherheitsverantwortliche erweisen. Denn im Gegensatz zu modernen <a href="https://www.computerwoche.de/article/2734013/worauf-es-bei-sso-loesungen-ankommt.html" title="SSO-Lösungen" target="_blank">SSO-Lösungen</a> verwendet NTLM ein einfaches Dialogfeld, um Benutzer zu authentifizieren – ohne echte Maßstäbe an die Passwortsicherheit anzulegen. Dass das keinen <a href="https://www.csoonline.com/article/3492200/authentifizierungslosungen-10-passwordless-optionen-fur-unternehmen.html" title="zukunftsfähigen Weg in Sachen Authentifizierung" target="_blank">zukunftsfähigen Weg in Sachen Authentifizierung</a> darstellt, wusste Microsoft schon im Jahr 2009 – seitdem rät der Konzern davon ab, das Protokoll zu verwenden, weil es grundsätzlich nicht sicher ist. Diese Botschaft ging leider unter – und NTLM wurde weiter genutzt.</p>
<h3 class="wp-block-heading" id="warum-ntlm-ein-risiko-darstellt">Warum NTLM ein Risiko darstellt</h3>
<p>Kriminelle Hacker nehmen deshalb gerne Applikationen ins Visier, die NTLM im Rahmen ihres Authentifizierungsprozesses einsetzen. Sicherheitslücken im Zusammenhang mit NTLM tauchen regelmäßig auf – zum Beispiel in Form von <a href="https://nvd.nist.gov/vuln/detail/cve-2023-23397" title="CVE 2023-23397" target="_blank" rel="noopener">CVE 2023-23397</a>, einer als kritisch eingestuften Privilege-Escalation-Schwachstelle in Microsoft Outlook. Diese ließ sich mit einer speziell gestalteten E-Mail ausnutzen, die keine weitere Nutzerinteraktion erforderte. </p>
<p>Research-Spezialisten des IT-Sicherheitsanbieters BeyondTrust beschreiben in ihrem “<a href="https://www.beyondtrust.com/resources/whitepapers/microsoft-vulnerability-report" title="Microsoft Vulnerabilities Report 2024" target="_blank" rel="noopener">Microsoft Vulnerabilities Report 2024</a>” die Funktionsweise: “Die Schwachstelle wird durch eine speziell ausgestaltete Kalender-, beziehungsweise Termineinladung getriggert, die an die E-Mail-Adresse des Opfers gesendet wird. Diese Einladung ist mit zusätzlichen Properties ausgestattet, die Outlook dazu veranlassen, eine SMB-Verbindung herzustellen und einen NTLM-Authentifizierungsprozess über einen Server im Netz anzustoßen. Letzterer steht unter der Kontrolle der Angreifer und ermöglicht diesen, die NTLM-Hashes abzufangen und sich im Namen ihrer Ziele zu authentifizieren.” Wie die Security-Experten schlussfolgern, resultiert das in einer potenziellen <a href="https://www.computerwoche.de/article/2797569/was-sie-ueber-rechteausweitung-wissen-muessen.html" title="Privilege Escalation" target="_blank">Privilege Escalation</a> und damit in einem erhöhten Risiko für die gesamte IT-Umgebung.</p>
<p>Die NTLM-“Features”, die das Protokoll bei kriminellen Hackern besonders beliebt machen, im Überblick: </p>
<ul class="wp-block-list">
<li><p>nicht-existente Kennwortsicherheit;</p></li>
<li><p>erfordert keine lokale Verbindung zu einer Windows-Domäne;</p></li>
<li><p>ist erforderlich, wenn ein lokales Konto verwendet wird und der beabsichtigte Zielserver unbekannt ist;</p></li>
<li><p>bietet aufgrund seines Alters keinen Support für <a title="moderne Verschlüsselungsverfahren" href="https://www.computerwoche.de/article/2650080/faq-was-sie-ueber-verschluesselung-wissen-sollten.html" target="_blank">moderne Verschlüsselungsverfahren</a> wie AES oder SHA-256, weshalb sein (unsalted) Hash-System einfach zu knacken ist.</p></li>
</ul>
<h3 class="wp-block-heading" id="kerberos-vs-ntlm">Kerberos vs. NTLM</h3>
<p>Moderne Kryptografie ist jedoch glücklicherweise Bestandteil der <a href="https://learn.microsoft.com/de-de/dotnet/framework/network-programming/ntlm-and-kerberos-authentication" title="Kerberos-Protokolle" target="_blank" rel="noopener">Kerberos-Protokolle</a>, die Microsoft seit einigen Jahren als NTLM-Substitut etablieren will und die seit Windows Server 2000 standardmäßig zu Authentifizierungszwecken zum Einsatz kommen.</p>
<p>“NTLM basiert auf einem Drei-Wege-Handshake zwischen Client und Server, um einen Benutzer zu authentifizieren. Kerberos setzt hingegen auf einen zweiteiligen Prozess, der auf einem Ticket-Vergabeservice oder einem Key-Distribution-Center fußt”, erklärt Crowdstrike-Experte Narendran Vaideeswaran in <a href="https://www.crowdstrike.com/cybersecurity-101/ntlm-windows-new-technology-lan-manager/" title="einem Blogbeitrag" target="_blank" rel="noopener">einem Blogbeitrag</a>. Kerberos ist also “secure by design” – etwas, das man von NTLM nicht einmal ansatzweise behaupten kann. Allerdings war und ist NTLM einfach zu implementieren – was auch ein Grund für die anhaltende Nutzung ist. Ein weiterer: Wenn Kerberos nicht richtig funktioniert, ist NTLM oft die nächstbeste Wahl, respektive die Fallback-Lösung. Einen weiteren Pain Point besteht darin, dass das Protokoll auch verwendet wird, um Remote Desktop Services zu implementieren.</p>
<p>Microsofts Bestrebungen, NTLM abzulösen, schienen hingegen angesichts der Nicht-Existenz einfacher Lösungen etwas unaufrichtig – erst in jüngster Zeit scheint die Abkehr von NTLM endlich Fahrt aufzunehmen. X-User “Brian in Pittsburgh” bringt die zähe Entwicklung in einer Kurznachricht auf den Punkt:</p>
<blockquote class="twitter-tweet"><p lang="en" dir="ltr">For about a decade or more, Microsoft took an approach that customers who wanted to be more foundationally secure needed to either possess significant expertise and determination to implement non-default and obscure things or shift to using new MS cloud stuff.</p>— Brian in Pittsburgh (@arekfurt) <a href="https://twitter.com/arekfurt/status/1779907319909748907?ref_src=twsrc%5Etfw">April 15, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script><p>In <a href="https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848" title="einem Blogpost" target="_blank" rel="noopener">einem Blogpost</a> aus dem Oktober 2023 kündigt Microsoft an, die Zuverlässigkeit und Flexibilität von Kerberos ausbauen und die Abhängigkeiten von NTLM reduzieren zu wollen. In Windows 11 soll NTLM vollständig deaktiviert werden – allerdings ist dafür bislang noch kein Termin bekannt.</p>
<h3 class="wp-block-heading" id="wie-sie-ntlm-loswerden">Wie Sie NTLM loswerden</h3>
<p>Vollständig auf NTLM zu verzichten, wird kein einfacher Task. Unternehmen sollten insbesondere die folgenden drei Schritte abarbeiten, um sich der Protokollplage endgültig zu entledigen:</p>
<ol class="wp-block-list">
<li><p>Stoßen Sie zunächst ein Protokoll-Audit an, das sämtliche Verbindungen zu NTLM aufspürt – einschließlich älterer Clients, auf denen ungepatchte und/oder veraltete Windows-Versionen ohne Kerberos-Support laufen. Im weiteren Verlauf müssen alle betroffenen Windows-Clients mit einem neuen Mechanismus für die lokale Kerberos-Authentifizierung ausgestattet sowie um alte Konfigurationen und Code-Bestandteile bereinigt werden – je nach (Microsoft-)Anwendungsportfolio eine Herkulesaufgabe. </p></li>
<li><p>Anschließend sollten Sie auf spezifische Sperren setzen, um sich vor NTLM-Relay-Angriffen zu schützen. Dazu empfiehlt Crowdstrike-Experte Vaideeswaran, Serversignaturen und EPA (Extended Protection for Authentification) auf allen relevanten Systemen zu aktivieren, die neuesten Sicherheits-Patches einzuspielen sowie den NTLM-Netzwerkverkehr über Gruppenrichtlinienobjekte einzuschränken. SMB-Clients lassen sich darüber hinaus so konfigurieren, dass NTLM in Windows-11- und Windows-Server-Preview-Versionen blockiert wird. </p></li>
<li><p>Zu guter Letzt gilt es, Kerberos für den Support von Service Principal Names zu konfigurieren. Wie das geht, beschreibt Microsoft <a title="im Rahmen eines Lernartikels" href="https://learn.microsoft.com/de-de/windows-server/security/kerberos/configuring-kerberos-over-ip" target="_blank" rel="noopener">im Rahmen eines Lernartikels</a> ausführlich. Besonders wichtig ist dieser Punkt zum Beispiel, wenn Ihr Netzwerk über Load Balancer verfügt, die den TCP/IP-Traffic aufteilen.</p></li>
</ol>
<p>Um zu unterstreichen, dass es Microsoft diesmal mit der NTLM-Abkehr Ernst meint, hat der Konzern außerdem ein einstündiges Webinar auf Youtube veröffentlicht, das weitere Tipps zur NTLM-Abkehr visualisiert:</p>
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper youtube-video">
<iframe loading="lazy" title="The Evolution of Windows Authentication" width="500" height="281" src="https://www.youtube.com/embed/SEtARCtGP0Y?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>
<p>(fm)</p>
<p><strong>Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? </strong><a href="https://www.csoonline.com/de/newsletters/signup/"><strong>Unser kostenloser Newsletter</strong></a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.</strong></p>
</div></div></div></div>
https://www.csoonline.com/article/349415...-ntlm.html
<div id="remove_no_follow">
<div class="grid grid--cols-10@md grid--cols-8@lg article-column">
<div class="col-12 col-10@md col-6@lg col-start-3@lg">
<div class="article-column__content">
<section class="wp-block-bigbite-multi-title"><div class="container"></div></section>
<div class="extendedBlock-wrapper block-coreImage undefined"><figure class="wp-block-image size-large"><img loading="lazy" decoding="async" src="https://b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?quality=50&strip=all&w=1024" alt="Netzwerk Frau 16z9 DE Only" class="wp-image-3816387" srcset="https://b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?quality=50&strip=all 7059w, https://b2b-contenthub.com/wp-content/up...;strip=all 300w, https://b2b-contenthub.com/wp-content/up...;strip=all 768w, https://b2b-contenthub.com/wp-content/up...;strip=all 1024w, https://b2b-contenthub.com/wp-content/up...;strip=all 1536w, https://b2b-contenthub.com/wp-content/up...;strip=all 2048w, https://b2b-contenthub.com/wp-content/up...;strip=all 1240w, https://b2b-contenthub.com/wp-content/up...;strip=all 150w, https://b2b-contenthub.com/wp-content/up...;strip=all 854w, https://b2b-contenthub.com/wp-content/up...;strip=all 640w, https://b2b-contenthub.com/wp-content/up...;strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px" /><figcaption class="wp-element-caption">Netzwerksicherheit und NTLM gehen nicht gut zusammen.</figcaption></figure><p class="imageCredit">PeopleImages.com – Yuri A | shutterstock.com</p></div>
<p>Im Jahr 1991 beendete Microsoft seine Partnerschaft mit IBM und damit auch die gemeinsame Entwicklungsarbeit an OS/2, um sich seinem <a href="https://www.computerwoche.de/article/2729543/die-windows-geschichte-von-1-0-bis-10.html" title="eigenen Betriebssystem" target="_blank">eigenen Betriebssystem</a> zu widmen. Dieses Bestreben gipfelte 1993 im Release von Windows NT, das standardmäßig das Authentifizierungsprotokoll New Technology LAN Manager, kurz <a href="https://de.wikipedia.org/wiki/NTLM" title="NTLM" target="_blank" rel="noopener">NTLM</a>, verwendete. Im Laufe des nächsten Jahrzehnts entwickelte sich NTLM zu Microsofts erster Anlaufstelle in Sachen Single Sign-On (<a href="https://www.computerwoche.de/article/2778438/wunderwaffe-sso.html" title="SSO" target="_blank">SSO</a>) – lange, bevor das Verfahren zur Benutzeridentifizierung zu einer eigenen Produktkategorie wurde.</p>
<p>Das Problem: NTLM ist weiterhin tief in der Windows-Welt verankert – und auch wegen seines Alters risikobehaftet. Die Folge sind beispielsweise <a href="https://www.youtube.com/watch?v=jWeOLGUw4U4" title="NTLM-Relay-Angriffe" target="_blank" rel="noopener">NTLM-Relay-Angriffe</a>. Die NTLM-Alternative Kerberos wird auf der anderen Seite (noch) nicht durchgängig unterstützt und auch die Option, NTLM über <a href="https://www.csoonline.com/article/3491628/cross-tenant-synchronisation-cts-forscher-warnen-vor-laxen-azure-ad-richtlinien.html" title="Azure Active Directory" target="_blank">Azure Active Directory</a> zu deaktivieren, ist nicht immer die beste.</p>
<p>Im Folgenden lesen Sie, wie sich NTLM definiert, welche Risiken es aufwirft und welche Möglichkeiten sich Ihnen bieten, das unsichere Protokoll ein für alle mal zu eliminieren. Eines vorweg: Letzteres zu zu realisieren, stellt keine leichte Aufgabe dar.</p>
<h3 class="wp-block-heading" id="was-ist-ntlm">Was ist NTLM?</h3>
<p>Bei <a href="https://davenport.sourceforge.net/ntlm.html" title="NTLM" target="_blank" rel="noopener">NTLM</a> handelt es sich um eine Suite von Authentifizierungs- und Security-Protokollen, die in diversen Microsoft-Netzwerkprotokoll-Implementierungen zur Anwendung kommt. NTLM ist unter anderem Bestandteil des “Integrated Windows Authentication Stack” für die http-Authentifizierung. Darüber hinaus kommt es auch in folgenden Microsoft-Implementierungen zum Einsatz:</p>
<ul class="wp-block-list">
<li><p>SMTP,</p></li>
<li><p>POP3,</p></li>
<li><p>IMAP,</p></li>
<li><p>CIFS/SMB,</p></li>
<li><p>Telnet und</p></li>
<li><p>SIP.</p></li>
</ul>
<p>Dabei weckt NTLM Erinnerungen an eine andere Konnektivitäts-Ära, als Netzwerke nicht mehr als lokale Verbindungen zu Datei- und Drucker-Servern darstellten. Dieser lokale Fokus sollte sich auch als wesentlicher Nachteil für Sicherheitsverantwortliche erweisen. Denn im Gegensatz zu modernen <a href="https://www.computerwoche.de/article/2734013/worauf-es-bei-sso-loesungen-ankommt.html" title="SSO-Lösungen" target="_blank">SSO-Lösungen</a> verwendet NTLM ein einfaches Dialogfeld, um Benutzer zu authentifizieren – ohne echte Maßstäbe an die Passwortsicherheit anzulegen. Dass das keinen <a href="https://www.csoonline.com/article/3492200/authentifizierungslosungen-10-passwordless-optionen-fur-unternehmen.html" title="zukunftsfähigen Weg in Sachen Authentifizierung" target="_blank">zukunftsfähigen Weg in Sachen Authentifizierung</a> darstellt, wusste Microsoft schon im Jahr 2009 – seitdem rät der Konzern davon ab, das Protokoll zu verwenden, weil es grundsätzlich nicht sicher ist. Diese Botschaft ging leider unter – und NTLM wurde weiter genutzt.</p>
<h3 class="wp-block-heading" id="warum-ntlm-ein-risiko-darstellt">Warum NTLM ein Risiko darstellt</h3>
<p>Kriminelle Hacker nehmen deshalb gerne Applikationen ins Visier, die NTLM im Rahmen ihres Authentifizierungsprozesses einsetzen. Sicherheitslücken im Zusammenhang mit NTLM tauchen regelmäßig auf – zum Beispiel in Form von <a href="https://nvd.nist.gov/vuln/detail/cve-2023-23397" title="CVE 2023-23397" target="_blank" rel="noopener">CVE 2023-23397</a>, einer als kritisch eingestuften Privilege-Escalation-Schwachstelle in Microsoft Outlook. Diese ließ sich mit einer speziell gestalteten E-Mail ausnutzen, die keine weitere Nutzerinteraktion erforderte. </p>
<p>Research-Spezialisten des IT-Sicherheitsanbieters BeyondTrust beschreiben in ihrem “<a href="https://www.beyondtrust.com/resources/whitepapers/microsoft-vulnerability-report" title="Microsoft Vulnerabilities Report 2024" target="_blank" rel="noopener">Microsoft Vulnerabilities Report 2024</a>” die Funktionsweise: “Die Schwachstelle wird durch eine speziell ausgestaltete Kalender-, beziehungsweise Termineinladung getriggert, die an die E-Mail-Adresse des Opfers gesendet wird. Diese Einladung ist mit zusätzlichen Properties ausgestattet, die Outlook dazu veranlassen, eine SMB-Verbindung herzustellen und einen NTLM-Authentifizierungsprozess über einen Server im Netz anzustoßen. Letzterer steht unter der Kontrolle der Angreifer und ermöglicht diesen, die NTLM-Hashes abzufangen und sich im Namen ihrer Ziele zu authentifizieren.” Wie die Security-Experten schlussfolgern, resultiert das in einer potenziellen <a href="https://www.computerwoche.de/article/2797569/was-sie-ueber-rechteausweitung-wissen-muessen.html" title="Privilege Escalation" target="_blank">Privilege Escalation</a> und damit in einem erhöhten Risiko für die gesamte IT-Umgebung.</p>
<p>Die NTLM-“Features”, die das Protokoll bei kriminellen Hackern besonders beliebt machen, im Überblick: </p>
<ul class="wp-block-list">
<li><p>nicht-existente Kennwortsicherheit;</p></li>
<li><p>erfordert keine lokale Verbindung zu einer Windows-Domäne;</p></li>
<li><p>ist erforderlich, wenn ein lokales Konto verwendet wird und der beabsichtigte Zielserver unbekannt ist;</p></li>
<li><p>bietet aufgrund seines Alters keinen Support für <a title="moderne Verschlüsselungsverfahren" href="https://www.computerwoche.de/article/2650080/faq-was-sie-ueber-verschluesselung-wissen-sollten.html" target="_blank">moderne Verschlüsselungsverfahren</a> wie AES oder SHA-256, weshalb sein (unsalted) Hash-System einfach zu knacken ist.</p></li>
</ul>
<h3 class="wp-block-heading" id="kerberos-vs-ntlm">Kerberos vs. NTLM</h3>
<p>Moderne Kryptografie ist jedoch glücklicherweise Bestandteil der <a href="https://learn.microsoft.com/de-de/dotnet/framework/network-programming/ntlm-and-kerberos-authentication" title="Kerberos-Protokolle" target="_blank" rel="noopener">Kerberos-Protokolle</a>, die Microsoft seit einigen Jahren als NTLM-Substitut etablieren will und die seit Windows Server 2000 standardmäßig zu Authentifizierungszwecken zum Einsatz kommen.</p>
<p>“NTLM basiert auf einem Drei-Wege-Handshake zwischen Client und Server, um einen Benutzer zu authentifizieren. Kerberos setzt hingegen auf einen zweiteiligen Prozess, der auf einem Ticket-Vergabeservice oder einem Key-Distribution-Center fußt”, erklärt Crowdstrike-Experte Narendran Vaideeswaran in <a href="https://www.crowdstrike.com/cybersecurity-101/ntlm-windows-new-technology-lan-manager/" title="einem Blogbeitrag" target="_blank" rel="noopener">einem Blogbeitrag</a>. Kerberos ist also “secure by design” – etwas, das man von NTLM nicht einmal ansatzweise behaupten kann. Allerdings war und ist NTLM einfach zu implementieren – was auch ein Grund für die anhaltende Nutzung ist. Ein weiterer: Wenn Kerberos nicht richtig funktioniert, ist NTLM oft die nächstbeste Wahl, respektive die Fallback-Lösung. Einen weiteren Pain Point besteht darin, dass das Protokoll auch verwendet wird, um Remote Desktop Services zu implementieren.</p>
<p>Microsofts Bestrebungen, NTLM abzulösen, schienen hingegen angesichts der Nicht-Existenz einfacher Lösungen etwas unaufrichtig – erst in jüngster Zeit scheint die Abkehr von NTLM endlich Fahrt aufzunehmen. X-User “Brian in Pittsburgh” bringt die zähe Entwicklung in einer Kurznachricht auf den Punkt:</p>
<blockquote class="twitter-tweet"><p lang="en" dir="ltr">For about a decade or more, Microsoft took an approach that customers who wanted to be more foundationally secure needed to either possess significant expertise and determination to implement non-default and obscure things or shift to using new MS cloud stuff.</p>— Brian in Pittsburgh (@arekfurt) <a href="https://twitter.com/arekfurt/status/1779907319909748907?ref_src=twsrc%5Etfw">April 15, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script><p>In <a href="https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848" title="einem Blogpost" target="_blank" rel="noopener">einem Blogpost</a> aus dem Oktober 2023 kündigt Microsoft an, die Zuverlässigkeit und Flexibilität von Kerberos ausbauen und die Abhängigkeiten von NTLM reduzieren zu wollen. In Windows 11 soll NTLM vollständig deaktiviert werden – allerdings ist dafür bislang noch kein Termin bekannt.</p>
<h3 class="wp-block-heading" id="wie-sie-ntlm-loswerden">Wie Sie NTLM loswerden</h3>
<p>Vollständig auf NTLM zu verzichten, wird kein einfacher Task. Unternehmen sollten insbesondere die folgenden drei Schritte abarbeiten, um sich der Protokollplage endgültig zu entledigen:</p>
<ol class="wp-block-list">
<li><p>Stoßen Sie zunächst ein Protokoll-Audit an, das sämtliche Verbindungen zu NTLM aufspürt – einschließlich älterer Clients, auf denen ungepatchte und/oder veraltete Windows-Versionen ohne Kerberos-Support laufen. Im weiteren Verlauf müssen alle betroffenen Windows-Clients mit einem neuen Mechanismus für die lokale Kerberos-Authentifizierung ausgestattet sowie um alte Konfigurationen und Code-Bestandteile bereinigt werden – je nach (Microsoft-)Anwendungsportfolio eine Herkulesaufgabe. </p></li>
<li><p>Anschließend sollten Sie auf spezifische Sperren setzen, um sich vor NTLM-Relay-Angriffen zu schützen. Dazu empfiehlt Crowdstrike-Experte Vaideeswaran, Serversignaturen und EPA (Extended Protection for Authentification) auf allen relevanten Systemen zu aktivieren, die neuesten Sicherheits-Patches einzuspielen sowie den NTLM-Netzwerkverkehr über Gruppenrichtlinienobjekte einzuschränken. SMB-Clients lassen sich darüber hinaus so konfigurieren, dass NTLM in Windows-11- und Windows-Server-Preview-Versionen blockiert wird. </p></li>
<li><p>Zu guter Letzt gilt es, Kerberos für den Support von Service Principal Names zu konfigurieren. Wie das geht, beschreibt Microsoft <a title="im Rahmen eines Lernartikels" href="https://learn.microsoft.com/de-de/windows-server/security/kerberos/configuring-kerberos-over-ip" target="_blank" rel="noopener">im Rahmen eines Lernartikels</a> ausführlich. Besonders wichtig ist dieser Punkt zum Beispiel, wenn Ihr Netzwerk über Load Balancer verfügt, die den TCP/IP-Traffic aufteilen.</p></li>
</ol>
<p>Um zu unterstreichen, dass es Microsoft diesmal mit der NTLM-Abkehr Ernst meint, hat der Konzern außerdem ein einstündiges Webinar auf Youtube veröffentlicht, das weitere Tipps zur NTLM-Abkehr visualisiert:</p>
<figure class="wp-block-embed is-type-video is-provider-youtube wp-block-embed-youtube wp-embed-aspect-16-9 wp-has-aspect-ratio"><div class="wp-block-embed__wrapper youtube-video">
<iframe loading="lazy" title="The Evolution of Windows Authentication" width="500" height="281" src="https://www.youtube.com/embed/SEtARCtGP0Y?feature=oembed" frameborder="0" allow="accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share" referrerpolicy="strict-origin-when-cross-origin" allowfullscreen></iframe>
</div></figure>
<p>(fm)</p>
<p><strong>Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? </strong><a href="https://www.csoonline.com/de/newsletters/signup/"><strong>Unser kostenloser Newsletter</strong></a><strong> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.</strong></p>
</div></div></div></div>
https://www.csoonline.com/article/349415...-ntlm.html