Was ist NTLM (New Technology LAN Manager)?

NTLM (Neue Technologie LAN Manager) ist eine Suite von Microsoft-Sicherheitsprotokollen für Beglaubigung, Integrität und Vertraulichkeit in Windows-Umgebungen.

Was ist NTLM?

NTLM (New Technology LAN Manager) ist ein proprietäres Microsoft-Authentifizierungsprotokoll zur Authentifizierung von Benutzern und Computern in Windows-basierten Netzwerken. Es basiert auf einem Challenge-Response-Mechanismus, bei dem der Client seine Kenntnis des Benutzerkennworts nachweist, ohne es tatsächlich über das Netzwerk zu senden. Wenn ein Benutzer versucht, auf eine Ressource zuzugreifen, server stellt dem Client eine Herausforderung, die dann verschlüsselt diese Herausforderung mit einem Hash- des Benutzerpassworts und gibt das Ergebnis zurück.

Der server führt die gleiche Operation aus und vergleicht die Ergebnisse, um den Benutzer zu authentifizieren. NTLM wurde als Teil von Windows NT eingeführt und unterstützt Nachrichten Integrität und Vertraulichkeit durch Signieren und Versiegeln von Nachrichten. Es mangelt jedoch an modernen kryptografischen Schutzmechanismen und gegenseitiger Authentifizierung, was es anfällig für verschiedene Angriffe wie Pass-the-Hash- und Replay-Angriffe macht. Daher wurde es ersetzt durch Kerberos in Active Directory-Umgebungen, wird aber weiterhin verwendet für Legacy-Systeme, Nicht-Domänen-Szenarien oder wenn Interoperabilität mit älterer Software ist erforderlich.

NTLM-Hauptfunktionen

Hier sind die wichtigsten Funktionen von NTLM, jede im Detail erklärt.

1. Challenge-Response-Authentifizierung

NTLM verwendet einen Challenge-Response-Mechanismus, anstatt Passwörter über das Netzwerk zu senden. Wenn ein Benutzer versucht, sich zu authentifizieren, server sendet eine zufällige Challenge. Der Client verschlüsselt diese Challenge mit einem Hash des Benutzerpassworts und sendet sie zurück. Der server führt dann den gleichen Vorgang aus und vergleicht das Ergebnis, um die Identität zu überprüfen. Dies reduziert das Risiko der Offenlegung von Passwörtern während Übertragung.

2. Hash-basierter Anmeldeinformationsspeicher

NTLM speichert keine Klartext-Passwörter, sondern verwendet Hashwerte (meist NT-Hashes). Diese werden mithilfe einer kryptografischen Hashfunktion aus dem Passwort des Benutzers abgeleitet. Dies ist zwar sicherer als die Speicherung von Passwörtern im Klartext, birgt aber dennoch ein Risiko, wenn die Hashes gestohlen werden, da sie für Pass-the-Hash-Angriffe wiederverwendet werden können.

3. Integrität und Vertraulichkeit der Nachrichten

NTLM unterstützt die Nachrichtensignatur (zur Überprüfung der Nachrichtenintegrität) und die Nachrichtenversiegelung (zur Verschlüsselung des Nachrichteninhalts). Diese Funktionen dienen dem Schutz vor Manipulation und Lauschangriffen, sind jedoch optional und werden nicht immer standardmäßig erzwungen.

4. Kompatibilität mit Nicht-Domänen- und Legacy-Systemen

NTLM wird weiterhin häufig zur Authentifizierung von Benutzern auf Systemen verwendet, die keiner Active Directory-Domäne angehören oder Kerberos nicht unterstützt. Dies ist besonders in gemischten Umgebungen mit älterer Software oder bei der Integration von Drittanbietern, die auf NTLM basieren, von Nutzen.

5. Mehrere Versionen (LM, NTLMv1, NTLMv2)

Es gibt verschiedene Versionen von NTLM mit unterschiedlichen Sicherheitsfunktionen. NTLMv1 und der ältere LAN Manager (LM) gelten als unsicher, während NTLMv2 durch stärkeres Hashing (HMAC-MD5) und eine bessere Handhabung von Challenge-Response-Protokollen. Allerdings ist selbst NTLMv2 nicht so sicher wie Kerberos.

6. Single Sign-On (SSO)-Unterstützung (eingeschränkt)

NTLM unterstützt eine grundlegende Form von Single Sign-On (SSO) in Windows-Umgebungen. Sobald sich ein Benutzer anmeldet und authentifiziert ist, können seine Anmeldeinformationen wiederverwendet werden, um auf mehrere Dienste innerhalb derselben Sitzung. Dies ist jedoch im Vergleich zur vollständigen ticketbasierten SSO-Funktion von Kerberos eingeschränkt.

7. Keine gegenseitige Authentifizierung

NTLM authentifiziert den Client gegenüber dem server aber nicht umgekehrt. Dieser Mangel an gegenseitiger Authentifizierung öffnet die Tür zu Man-in-the-Middle (MitM) Angriffe, bei denen sich ein Angreifer als vertrauenswürdiger server.

Wie funktioniert NTLM?

NTLM verwendet einen Challenge-Response-Mechanismus, der es einem Client ermöglicht, seine Identität gegenüber einem server ohne das eigentliche Passwort zu übermitteln. So läuft der Prozess ab, typischerweise in drei Schritten während der Authentifizierung.

1. Verhandeln

Der Client initiiert die Kommunikation durch Senden einer Negotiate-Nachricht an den serverDiese Nachricht enthält die vom Client unterstützten NTLM-Funktionen und gibt an, dass er NTLM zur Authentifizierung verwenden möchte.

2. Herausforderung

Der server antwortet mit einer Challenge-Nachricht, die eine zufällig generierte Nonce (eine einmalige Nummer) enthält, die als „Challenge“ bezeichnet wird. Diese Nonce dient dazu, Replay-Angriffe zu verhindern.

3. Authentifizieren

Der Kunde übernimmt die servers-Challenge und verwendet den Passwort-Hash des Benutzers, um eine kryptografische Antwort zu berechnen. Diese wird als NTLM-Antwort bezeichnet und an den server in einer Authentifizierungsnachricht, zusammen mit dem Benutzernamen und anderen Metadaten.

Wofür wird NTLM verwendet?

NTLM dient zur Authentifizierung von Benutzern und Computern in Windows-basierten Umgebungen, insbesondere wenn modernere Protokolle wie Kerberos nicht verfügbar oder kompatibel sind. Es ermöglicht Systemen die Identitätsprüfung und den Zugriff auf Netzwerkressourcen, ohne Klartextkennwörter zu übertragen.

Zu den häufigsten Anwendungsfällen gehören:

Zugriff auf freigegebene Ordner und Drucker auf lokalen oder Remote-Windows-Computern in Arbeitsgruppen oder Nicht-Domänennetzwerken.
Authentifizieren von Remotebenutzern Verbindung zu Legacy-Systemen oder -Diensten, die Kerberos nicht unterstützen.
Fallback-Authentifizierung in Active Directory-Domänen, wenn Kerberos fehlschlägt (z. B. aufgrund von DNS Probleme oder fehlende SPNs).
Single Sign-On (SSO) innerhalb von Intranets mit älteren Windows Anwendungen oder Protokolle, die auf NTLM basieren.
Integration mit Anwendungen von Drittherstellern oder Geräte die nur NTLM-basierte Authentifizierung unterstützen (z. B. einige ältere NAS Systeme, Proxiesoder Netz servers mit NTLM-Authentifizierung über HTTP).

Woher weiß ich, ob NTLM noch verwendet wird?

Um festzustellen, ob NTLM in Ihrer Umgebung noch verwendet wird, können Sie den Authentifizierungsverkehr mit Tools wie der Microsoft-Ereignisanzeige überwachen, insbesondere indem Sie die NTLM-Überwachung über die Gruppenrichtlinie aktivieren (Netzwerksicherheit: NTLM-Einstellungen einschränken). Nach der Konfiguration werden NTLM-bezogene Authentifizierungsversuche unter Sicherheitsereignis-IDs wie folgt protokolliert: 4624 (Anmeldung) und 4776 (NTLM-Authentifizierung).

Sie können auch Netzwerküberwachungstools wie Wireshark verwenden, um den Datenverkehr auf NTLMSSP-Nachrichten zu überprüfen, die auf NTLM-Aushandlungen hinweisen. Darüber hinaus können Tools wie Microsoft Defender for Identity oder Auditing-Lösungen von Drittanbietern Berichte über die Nutzung älterer Protokolle in Ihrem Netzwerk erstellen. Domain.

Die Identifizierung der NTLM-Nutzung ist für die Bewertung von Sicherheitsrisiken und die Planung einer Migration zu sichereren Authentifizierungsmethoden wie Kerberos oder modernen Identitätsprotokollen von entscheidender Bedeutung.

Sollte ich NTLM deaktivieren?

Das Deaktivieren von NTLM kann Ihre Sicherheitslage erheblich verbessern, sollte jedoch mit Vorsicht und nur nach der Sicherstellung erfolgen, dass kritische Systeme dadurch nicht gestört werden. NTLM ist ein älteres Protokoll mit bekannten Schwachstellen, darunter die Anfälligkeit für Pass-the-Hash-, Relay- und Man-in-the-Middle-Angriffe. Wenn Ihre Umgebung Kerberos oder moderne Authentifizierungsmethoden unterstützt, reduziert das Deaktivieren von NTLM die Angriffsfläche und erzwingt strengere Authentifizierungsverfahren.

Viele ältere Anwendungen, Geräte und Systeme (einschließlich einiger Dateifreigaben, Drucker oder Dienste von Drittanbietern) sind jedoch möglicherweise weiterhin auf NTLM zur Authentifizierung angewiesen. Bevor Sie es deaktivieren, sollten Sie Folgendes tun:

Überwachung der NTLM-Nutzung mithilfe von Gruppenrichtlinien und Ereignisprotokollierung.
Identifizieren Sie Abhängigkeiten auf NTLM durch Analyse des Anmeldeverkehrs.
Testen von Ersatzkonfigurationen, wie etwa Kerberos oder zertifikatsbasierte Authentifizierung.
NTLM schrittweise einschränken Anstatt es komplett zu deaktivieren, beginnen Sie mit Richtlinien wie „NTLM-Authentifizierung in dieser Domäne“ und beschränken Sie diese auf das System oder den Benutzer.

Wie kann man NTLM sichern oder eliminieren?

Um NTLM in Ihrer Umgebung zu sichern oder zu eliminieren, verfolgen Sie einen strukturierten Ansatz, der Audits, die Durchsetzung von Richtlinien und den Ersatz durch sicherere Protokolle umfasst. So geht's:

1. NTLM-Nutzung prüfen

Beginnen Sie damit, festzustellen, wo und wie NTLM verwendet wird:

Aktivieren Sie die NTLM-Überwachung über die Gruppenrichtlinie:
Computerkonfiguration → Richtlinien → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen → Netzwerksicherheit: NTLM einschränken.
Überprüfen der Ereignisanzeigeprotokolle (IDs wie 4624, 4776), um NTLM-Authentifizierungsversuche zu finden.
Wasser Microsoft Defender für Identität, Azure ATPoder Tools von Drittanbietern zur zentralen Analyse.

2. Implementieren Sie restriktive NTLM-Richtlinien

Schränken Sie die NTLM-Nutzung schrittweise mit GPO-Einstellungen ein:

Legen Sie „NTLM einschränken“ fest, um den eingehenden NTLM-Verkehr zu prüfen und die Nutzung zu verfolgen.
Wenden Sie „NTLM einschränken“ in dieser Domäne an, um NTLM in verschiedenen Bereichen zuzulassen, zu verweigern oder zu prüfen.
Verwenden Sie die Einstellung LMCompatibilityLevel, um nur NTLMv2 oder Kerberos zu erzwingen.

3. Migration zu Kerberos oder moderner Authentifizierung

Stellen Sie sicher, dass die Systeme nach Möglichkeit für die Verwendung von Kerberos konfiguriert sind:

Konfigurieren Sie Service Principal Names (SPNs) richtig für Kerberos.
Sorgen Sie für eine ordnungsgemäße DNS-Auflösung, Zeitsynchronisierung und Domänenvertrauensbeziehungen.
Erwägen Sie für Apps, die Kerberos nicht verwenden können, den Austausch oder die Aktualisierung durch moderne Alternativen, die Kerberos unterstützen. SAML, OAuth oder zertifikatsbasierte Authentifizierung.

4. Sichern Sie NTLM, wenn es nicht beseitigt werden kann

Wenn Legacy-Systeme NTLM erfordern:

Erzwingen Sie NTLMv2 nur, indem Sie LMCompatibilityLevel = 5 festlegen.
Aktivieren Sie das Signieren und Versiegeln von Nachrichten, um sie vor Manipulationen zu schützen.
Begrenzen Sie die NTLM-Nutzung durch Firewall Regeln oder Segmentierung um Altsysteme zu isolieren.
Verwenden Sie Privileged Access Workstations (PAWs) und Just-in-Time-Zugriff (JIT) für Konten, die über NTLM authentifiziert werden müssen.

5. Testen und Auslaufen von NTLM

Nach der Prüfung und Richtlinienoptimierung:

Testen Sie neue Authentifizierungskonfigurationen in einer Labor- oder Stagingumgebung.
Führen Sie NTLM-Einschränkungen schrittweise in der Produktion ein.
Überwachen Sie Protokolle und Benutzerfeedback auf Störungen und beheben Sie diese bei Bedarf.

Was sind die Vorteile und Herausforderungen von NTLM?

NTLM bietet grundlegende Authentifizierungsfunktionen, die einfach zu implementieren und mit Legacy-Systemen kompatibel sind. Dies macht es in bestimmten Umgebungen nützlich, in denen moderne Protokolle wie Kerberos nicht unterstützt werden. Das veraltete Design birgt jedoch erhebliche Sicherheitsrisiken, darunter schwache kryptografische Schutzmechanismen und die Anfälligkeit für verschiedene Angriffe.

Um fundierte Entscheidungen über die Verwendung und einen möglichen Ersatz von NTLM treffen zu können, ist es wichtig, sowohl die Vorteile als auch die Herausforderungen von NTLM zu verstehen.

NTLM-Vorteile

Nachfolgend sind einige der wichtigsten Vorteile aufgeführt:

Legacy-KompatibilitätNTLM unterstützt ältere Windows-Systeme und -Anwendungen, die Kerberos nicht erkennen oder unterstützen, und ist daher für die Aufrechterhaltung der Abwärtskompatibilität nützlich.
Keine Abhängigkeit von DomänencontrollernIm Gegensatz zu Kerberos erfordert NTLM keine Verbindung zu einem Key Distribution Center (KDC), sodass es in eigenständigen oder getrennten Szenarien funktionieren kann.
Einfache ImplementierungNTLM ist relativ einfach zu konfigurieren und zu verwenden und erfordert nur eine minimale Einrichtung. Daher eignet es sich für schnelle Bereitstellungen oder Umgebungen mit begrenzten Verwaltungsressourcen.
Einfaches Single Sign-On. NTLM ermöglicht eingeschränkte SSO-Funktionen innerhalb einer einzelnen Sitzung, sodass Benutzer auf mehrere Ressourcen zugreifen können, ohne wiederholt zur Authentifizierung aufgefordert zu werden.
Fallback-Authentifizierungsmechanismus. In gemischten oder falsch konfigurierten Umgebungen, in denen Kerberos fehlschlägt (z. B. aufgrund von DNS- oder Zeitsynchronisierungsproblemen), kann NTLM als backup um den Zugriff aufrechtzuerhalten.

NTLM-Herausforderungen

Nachfolgend sind die wichtigsten Herausforderungen von NTLM aufgeführt:

Schwache Kryptographie. NTLM verwendet veraltete Hashing-Algorithmen (wie MD4 in NT-Hashes), die anfällig sind für Brute-Force und Wörterbuchangriffe.
Anfälligkeit für AnmeldeinformationsdiebstahlAngreifer können NTLM in Pass-the-Hash-, Relay- oder Replay-Angriffen ausnutzen, um sich als Benutzer auszugeben, ohne deren Klartextkennwörter zu benötigen.
Keine gegenseitige Authentifizierung. NTLM authentifiziert den Client nur gegenüber dem server, wodurch es anfällig für Man-in-the-Middle-Angriffe wird, bei denen sich ein böswilliger Akteur als vertrauenswürdiger server.
Fehlende SkalierbarkeitNTLM unterstützt im Gegensatz zu Kerberos weder Delegierung noch Ticketing, was seine Verwendung in komplexen Unternehmensumgebungen mit mehreren Diensten und Identitätsebenen einschränkt.
Schwierig zu überwachen und zu kontrollieren. Der NTLM-Authentifizierungsverkehr kann in großen Umgebungen schwer zu verfolgen sein und seine fortgesetzte Verwendung kann unbemerkt bleiben, was versteckte Sicherheitsrisiken schafft.
Inkompatibel mit modernen SicherheitsstandardsNTLM unterstützt nicht Multi-Faktor-Authentifizierung (MFA), bedingter Zugriff und andere erweiterte Identitätsschutzmechanismen, die in modernen Protokollen zu finden sind.

NTLM vs. Kerberos

Hier ist ein Vergleich von NTLM und Kerberos in einer strukturierten Tabelle:

Merkmal	NTLM (New Technology LAN Manager)	Kerberos
Authentifizierungsmodell	Challenge-Response (Client und server).	Ticketbasiert (Client, Key Distribution Center und server).
Gegenseitige Authentifizierung	Nein, nur der Client wird authentifiziert.	Ja, sowohl Kunde als auch server sind authentifiziert.
Handhabung von Anmeldeinformationen	Basiert auf Passwort-Hashes.	Verwendet verschlüsselte Tickets mit temporären Sitzungsschlüsseln.
Verschlüsselungsstärke	Schwach (verwendet MD4 und HMAC-MD5).	Stärker (verwendet AES oder RC4 mit modernen Verschlüsselungsstandards).
Skalierbarkeit	Schlecht; unterstützt keine Delegierung oder SSO über mehrere Dienste hinweg.	Hoch; unterstützt Delegation und skalierbares SSO.
Abhängigkeit von der Zeitsynchronisierung	Nicht benötigt.	Erforderlich; hängt von der genauen Zeit für die Validierung des Ticketablaufs ab.
Domänenanforderung	Funktioniert in Domänen- und Nicht-Domänenumgebungen (Arbeitsgruppen).	Erfordert Active Directory oder gleichwertiges KDC.
Anfälligkeit für Angriffe	Anfällig für Pass-the-Hash-, Replay- und Relay-Angriffe.	Widerstandsfähiger, kann aber beeinträchtigt werden, wenn die Konfiguration nicht sicher ist.
Protokollierung und Auditierung	Eingeschränkte Sichtbarkeit und Kontrolle.	Bessere Prüfung und zentrale Verwaltung.
Moderne Unterstützung	In modernen Sicherheitsframeworks veraltet.	Standard für moderne Windows-Authentifizierung.

Ist NTLM dasselbe wie die Windows-Authentifizierung?

Nein, NTLM ist nicht dasselbe wie die Windows-Authentifizierung, aber es ist eines der verwendeten Protokolle . Windows-Authentifizierung.

Windows-Authentifizierung ist ein umfassenderer Begriff, der sich auf die Mechanismen bezieht, die Windows zur Authentifizierung von Benutzern und Diensten in einer Windows-Umgebung verwendet. Dazu gehören verschiedene Authentifizierungsprotokolle wie NTLM, Kerberos und manchmal auch zertifikats- oder tokenbasierte Methoden.

NTLM wird hauptsächlich aus Gründen der Abwärtskompatibilität und in Situationen verwendet, in denen Kerberos nicht verfügbar ist, beispielsweise in Arbeitsgruppenumgebungen oder wenn Systeme nicht Teil einer Domäne sind. Im Gegensatz dazu ist Kerberos das bevorzugte und sicherere Protokoll für die domänenbasierte Authentifizierung in modernen Windows-Netzwerken. Obwohl NTLM Teil der Windows-Authentifizierung sein kann, sind beide nicht synonym.