Flexible Security for Your Peace of Mind

Microsoft wechselt für mehr Sicherheit in Windows von NTLM auf Kerberos

Windows-Authentifizierung ist ein Prozess, den es schon seit Jahrzehnten gibt. Es überrascht daher nicht, dass Angreifer diesen Authentifizierungsmechanismus häufig ins Visier nehmen und Schwachstellen und Sicherheitslücken ausnutzen, sobald sie auftauchen. Um die Sicherheit der Windows-Authentifizierung zu erhöhen, hat Microsoft vor kurzem angekündigt, dass es die Abhängigkeit von NT Lan Manager (NTLM) in Windows verwerfen und stattdessen Kerberos weiter ausbauen wird. Welche Änderungen stehen also bevor, und was müssen Unternehmen jetzt beachten?

Was ist NTLM (NT LAN Manager)?

NTLMv2 gibt es seit Windows NT 4.0 SP2 und wird seit Windows 2000 als Teil des Betriebssystems unterstützt. Es handelt sich um ein Challenge-Response-Authentifizierungsprotokoll, das auf einem Drei-Wege-Handshake beruht, um Benutzer zu überprüfen. Es ist jedoch dafür bekannt, dass es vom Sicherheitsaspekt her schwach ist, da es keine modernen Verschlüsselungsalgorithmen wie AES oder SHA-256 unterstützt.

NTLM im Vergleich zu Kerberos

Kerberos hingegen ist ein wesentlich sichereres Authentifizierungsprotokoll und wird von Microsoft als Standard empfohlen. Es verwendet ein “Ticketing”-System, um Benutzer für Netzwerkressourcen zu authentifizieren, und, was noch wichtiger ist, es verwendet symmetrische und asymmetrische Verschlüsselung, im Gegensatz zu NTLM. Kerberos ermöglicht auch Single Sign-On (SSO), so dass Endbenutzer auf viele verschiedene Ressourcen zugreifen können, ohne ihre Benutzeranmeldedaten erneut eingeben zu müssen. Abgesehen von den Sicherheitsvorteilen bietet Kerberos auch eine höhere Leistung als NTLM.

Microsoft verabschiedet sich von NTLM

Aufgrund seiner schwachen Sicherheitsmerkmale hat Microsoft kürzlich angekündigt, dass NTLM zugunsten der Kerberos-Authentifizierung veraltet ist. Das Ziel von Microsoft ist es, die NTLM-Authentifizierung auf breiter Front abzuschalten und das Kerberos-Protokoll zu stärken, was bereits in Windows 11 der Fall ist.

In der Zwischenzeit will Microsoft bessere Tools zur Überprüfung der NTLM-Authentifizierung bereitstellen. Dadurch erhalten IT-Teams einen besseren Einblick in die NTLM-Nutzung in ihren Unternehmen, können feststellen, welche Anwendungen und Clients NTLM verwenden, und erhalten mehr Kontrolle über die Entfernung von NTLM aus dem Netzwerk.

Obwohl diese Änderung höchstwahrscheinlich die Überprüfung und Überarbeitung von Legacy-Anwendungen erfordert, wird das Endergebnis eine sicherere Umgebung mit viel besserer Sicherheit rund um die Authentifizierung sein – plus zusätzlicher Performance-Vorteile durch Kerberos.

Wollen Sie wissen, welche Passwörter aus Ihrer Organisation möglicherweise bereits kompromittiert sind? Nutzen Sie den kostenlosen Specops Password Auditor um passwortrelevante Schwachstellen aufzudecken.

Welche Verbesserungen erwarten Kerberos?

Bisher wies Kerberos in einigen Bereichen Mängel auf, die die Verwendung von NTLM erforderlich machten. Microsoft hat angekündigt, Kerberos dahingehend zu verbessern, dass die Notwendigkeit für NTLM entfällt und der Übergang reibungsloser verläuft. Wenn die Kerberos-Authentifizierung in der Vergangenheit nicht möglich war, griffen die Kunden auf NTLM zurück, wenn sie keinen direkten Zugriff auf einen Domänencontroller hatten.

Aus diesem Grund erweitert Microsoft das Kerberos-Protokoll um eine neue Public Extension namens IAKerb. Sie ermöglicht es Clients, die keinen direkten Zugang zu einem DC haben, sich über einen anderen Server zu authentifizieren, der diesen Zugang hat. Server werden dann in der Lage sein, Kerberos-Anfragen im Namen von Clients zu proxyen.

Ein lokaler KDC in Windows 11 wird Kerberos-Unterstützung für lokale Konten hinzufügen. Der neue lokale KDC verwendet von Haus aus AES-Verschlüsselung, um die Sicherheit der lokalen Authentifizierung zu verbessern. Darüber hinaus entfernt Microsoft auch hart kodierte NTLM-Referenzen in bestehenden Windows-Komponenten.

Was bedeutet dies für Unternehmen?

Viele Unternehmen haben alte, hard-coded Anwendungen mit integrierter NTLM-Authentifizierung entwickelt oder verwenden diese. Unternehmen müssen mit der Überprüfung von Anwendungen beginnen, um diejenigen zu identifizieren, die NTLM verwenden. Nach dieser Erfassungsphase können sie mit der Migration auf Kerberos beginnen, um die Sicherheit zu verbessern und mit den kommenden Änderungen bei der Windows-Authentifizierung Schritt zu halten. Microsoft schlägt vor, dass Unternehmen vorhandene Richtlinien und Protokolle verwenden, um zu ermitteln, wo NTLM verwendet wird, und um festzustellen, bei welchen Anwendungen Probleme bei der Deaktivierung von NTLM auftreten können.

Derzeit gibt es in der Active Directory-Gruppenrichtlinie eine Reihe von Einstellungen, die Sie aktivieren können, die Network security: Restrict NTLM: Audit NTLM authentication policy, und Network security: Restrict NTLM: Audit Incoming NTLM Traffic unter der Node Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options. Wenn Sie diese Einstellung aktivieren, werden Log-Einträge im Zusammenhang mit der Verwendung von NTLM in der entsprechenden Umgebung erstellt. Zusätzlich erlauben andere Richtlinien die Einschränkung der NTLM-Verwendung insgesamt. Diese Richtlinieneinstellungen sind hervorragende Tools, die Unternehmen dabei helfen, die Kontrolle über die NTLM-Nutzung zu behalten.

Aktivieren der NTLM-Überwachung in der Active Directory-Gruppenrichtlinie

Entwickler müssen auch den Code auf etwaige fest programmierte NTLM-Implementierungen überprüfen. Microsoft weist insbesondere auf die Verwendung der Funktion AcquireCredentialsHandle mit der Zeichenfolge ntlm hin und empfiehlt, diese in negotiate zu ändern. Ersetzen Sie außerdem Instanzen von “RPC_C_AUTHN_DEFAULT” in Aufrufen der Funktion RpcBindingSetAuthInfo durch “RPC_C_AUTHN_GSS_NEGOTIATE”.

In der Zwischenzeit können Sie auch die technische Dokumentation von Microsoft über die Verwendung von NTLM in Ihrer Umgebung berücksichtigen.

Specops uReset: Bereit für Kerberos

Benutzer interagieren bei der Anmeldung und beim Ändern von Passwörtern direkt mit Windows-Authentifizierungsprozessen. Unternehmen, die ein Self Service Lösung für den Password Reset (SSPR) implementieren und Endbenutzer in die Lage versetzen möchten, ihre Active Directory-Passwörter sicher zurückzusetzen, benötigen eine Lösung, die mit Kerberos arbeitet, wie Specops uReset.

Specops uReset enthält Sicherheitsfeatures wie Multi-Faktor-Authentifizierung (MFA), Geoblocking und vertrauenswürdige Netzwerkstandorte, die zur Entlastung des Helpdesks beitragen und die Sicherheit erhöhen. Wenn Sie Specops uReset bereits nutzen oder in Erwägung ziehen, um Self-Service-Passwort-Resets in Ihrer Umgebung zu implementieren, können Sie sicher sein, dass es bereits die neuesten Kerberos-Funktionen unterstützt und mit den kommenden Änderungen von Microsoft vollständig konform ist.

Möchten Sie gerne mehr darüber erfahren, wie Specops Password Policy, Specops Secure Servicedesk, Specops uReset und Specops Password Auditor in Ihrer Organisation zu mehr IT-Sicherheit beitragen kann? Dann vereinbaren Sie noch heute einen unverbindlichen Termin mit unseren Experten.

Secure Service Desk
Sichern Sie auch Ihren IT-Helpdesk mit einer Vielzahl von Verifizierungsmethoden, um Social Engineering-Angriffe zu vereiteln!

(Zuletzt aktualisiert am 20/12/2023)

Zurück zum Blog