Unsicheres NTLM abschalten

Ausgedient

von Evgenij Smirnov

Nahezu jedes Sicherheitsaudit einer Microsoft- Umgebung endet mit der Empfehlung, die NTLM-Authentifizierung zu deaktivieren oder zumindest möglichst stark zu begrenzen. Viele I-TVerantwortliche haben jedoch Bedenken dahingehend, altbewährte Verfahren abzuschaffen, da die Auswirkungen nicht immer vorhersehbar sind. Wir schauen uns NTLM genauer an und erklären, wie Sie das in die Jahre gekommene Authentifizierungsprotokoll loswerden.

Aus IT-Administrator 11/2022

Flexibilität ist gefragt, auch im Unternehmensnetzwerk. Im November werfen wir einen Blick auf das Schwerpunktthema "Software-definierte Infrastrukturen". So ... (mehr)

Wenn Sie dabei sind, die Microsoft-Technologien in Ihrer Umgebung zu härten, steht das Abschalten von NTLM vermutlich ziemlich weit oben auf Ihrer To-Do-Liste. Nur ist es, im Gegensatz zu vielen anderen notwendigen und üblichen Härtungsmaßnahmen, bei diesem Punkt nicht immer ganz klar, welchen Zustand der Umgebung die Härtung anstreben sollte und welche Kompromisse noch akzeptabel wären, sollte das Maximalprogramm nicht umsetzbar sein. Oft wird deswegen das Projekt "Zero NTLM" zunächst einmal aufgeschoben. Dabei ist die Sache mehr als brisant.

Warum NTLM so gefährlich ist

NTLM öffnet Tür und Tor für eine Vielzahl von Angriffen. Um das Maß der Gefährdung richtig einschätzen zu können, ist es wichtig zu verstehen, wie NTLM funktioniert. Das Prinzip ist einfach: Bevor der Zugriff auf eine Ressource, beispielsweise eine Dateifreigabe, gestattet wird, sendet der Server dem Client eine zufällig generierte Zeichenfolge (die "Nonce"). Der Client antwortet mit einem Authentifizierungstoken, der den Benutzernamen und die Nonce, verschlüsselt mit dem NTLM-Hash des Kennworts,

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.