NTLM-Verbindungen auf SMB sperren
Der SMB-Client unterstützt jetzt das Sperren der NTLM-Authentifizierung für ausgehende Fernverbindungen. Das Sperren der NTLM-Authentifizierung verhindert, dass böswillige Akteure Clients dazu verleiten, NTLM-Anfragen an böswillige Server zu senden, und wirkt damit Brute-Force-, Cracking- und Pass-the-Hash-Angriffen entgegen. Das Sperren von NTLM ist auch für die Umstellung der Authentifizierungsprotokolle einer Organisation auf Kerberos erforderlich, das sicherer als NTLM ist, da es die Serveridentitäten mit seinem Ticketsystem verifizieren kann. Unternehmen können diese Schutzebene jedoch auch aktivieren, ohne NTLM vollständig deaktivieren zu müssen.
Voraussetzungen
Das NTLM-Sperren für den SMB-Client erfordert die folgenden Voraussetzungen:
- Einen SMB-Client, der unter einem der folgenden Betriebssysteme ausgeführt wird.
- Windows Server 2025 oder höher.
- Windows 11, Version 24H2 oder höher.
- Ein SMB-Server, der die Verwendung von Kerberos erlaubt.
Tipp
Das NTLM-Sperren ist nur eine SMB-Client-Funktion. Der SMB-Client ist sowohl in Windows Server- als auch in Windows-Client-Betriebssystemen integriert. Der Ziel-SMB-Server kann ein beliebiges Betriebssystem sein, auf dem PKU2U oder Kerberos verwendet werden kann.
Konfigurieren des SMB-Client-NTLM-Sperrens
Ab Windows Server 2025 und Windows 11, Version 24H2, haben Sie die Möglichkeit, SMB zum Blockieren von NTLM zu konfigurieren. Um die Sicherheit von Bereitstellungen mit früheren Windows-Versionen zu verbessern, müssen Sie NTLM manuell deaktivieren, indem Sie entweder die entsprechende Gruppenrichtlinie bearbeiten oder einen bestimmten Befehl in PowerShell ausführen.
So konfigurieren Sie das NTLM-Sperren:
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.
Gehen Sie in der Konsolenstruktur zu Computerkonfiguration>Administrative Vorlagen>Netzwerk>Lanman Workstation.
Klicken Sie mit der rechten Maustaste auf Block NTLM (LM, NTLM, NTLMv2) und wählen Sie Bearbeiten.
Wählen Sie Aktiviert.
Ausnahmen von der NTLM-Sperre zulassen
Es kann Szenarien geben, in denen Sie bestimmten Rechnern die Verwendung von NTLM erlauben müssen, anstatt es global zu sperren. Zum Beispiel, wenn der SMB-Server, mit dem Sie eine Verbindung herstellen wollen, nicht mit einer Active Directory-Domäne verbunden ist.
So aktivieren Sie eine Liste von Ausnahmen von dem NTLM-Sperren:
Gehen Sie in der Struktur Gruppenrichtlinien-Editor-Konsole zu Computerkonfiguration>Administrative Vorlagen>Netzwerk>Lanman Workstation.
Klicken Sie mit der rechten Maustaste auf Block NTLM Server Exception List und wählen Sie Bearbeiten.
Wählen Sie Aktiviert.
Geben Sie die IP-Adressen, NetBIOS-Namen und vollständig qualifizierten Domänennamen (FQDNs) der Remotecomputer ein, für die Sie die NTLM-Authentifizierung zulassen möchten.
Sperren von NTLM beim Zuordnen von SMB-Laufwerken
Sie können NTLM auch sperren, wenn Sie neue SMB-Laufwerke zuordnen, indem Sie die folgenden Befehle ausführen.
Führen Sie diesen Befehl aus, um das NTLM-Sperren beim Zuordnen eines Laufwerks mit NET USE anzugeben:
NET USE \\server\share /BLOCKNTLM
Führen Sie diesen Befehl aus, um das NTLM-Sperren beim Zuordnen eines SMB-Laufwerks anzugeben:
New-SmbMapping -RemotePath \\server\share -BlockNTLM $true