Während ich einen Blogbeitrag über NTLMv1 und Windows Server 2025 verfasste, wurde ich an ein altes, bekanntes, aber immer wieder falsch verstandenes Problem erinnert: falsch konfigurierte LAN Manager-Authentifizierungsstufen. Diese Authentifizierungseinstellung legt das Challenge-Response-Protokoll fest, das für Netzwerk-Anmeldungen verwendet wird, wenn Kerberos nicht ausgehandelt wird.
Warum die Verwendung der Authentifizierungsstufe 2 (oder einer niedrigeren Stufe) keine gute Idee ist
Eine der häufigsten Fehlkonfigurationen, auf die ich in Active Directory-Umgebungen stoße, ist eine auf 2 oder niedriger eingestellte LAN Manager-Authentifizierungsstufe auf Domänencontrollern (DCs). Diese Authentifizierung kann auf zwei Arten festgelegt werden:
- Über Gruppenrichtlinien:
Network security: LAN Manager authentication level - Direkt über den Registrierungsschlüssel:
HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Der Grund für die Einstellung der Authentifizierung auf 2 ist fast immer derselbe: „Wir verfügen über ältere Anwendungen, die sich mit NTLMv1 authentifizieren, und wir können nicht riskieren, dass diese nicht mehr funktionieren.“
Diese Logik ist nachvollziehbar. Allerdings führt sie zu einem subtilen und kritischen Fehler.
Was ist der Unterschied zwischen den LAN Manager-Authentifizierungsstufen 2 und 3?
Die Einstellung der LAN Manager-Authentifizierungsstufe steuert sowohl das eingehende als auch das ausgehende Authentifizierungsverhalten– und diese sind nicht identisch.
Die Einstellung der Stufe auf 2 bedeutet Folgendes:
- Der DC akzeptiert eingehende NTLMv1-Authentifizierungen.
- Der DC verwendet ebenfalls NTLMv1, um ausgehende Verbindungen herzustellen.
Der zweite Punkt stellt eine Schwachstelle dar.
Im Gegensatz dazu bedeutet die Einstellung der Stufe auf 3 Folgendes:
- Der DC akzeptiert weiterhin NTLMv1-Eingänge (sodass ältere Clients weiterhin funktionieren).
- Der DC wird daran gehindert, NTLMv1-Ausgangsverbindungen zu senden.
Mit anderen Worten: Durch die Verwendung von Level 3 wird die Kompatibilität gewahrt und gleichzeitig eine erhebliche Angriffsfläche beseitigt.
Warum ausgehende NTLMv1-Anfragen von einem DC gefährlich sind
DCs sind hochkarätige Ziele. Wenn ein Angreifer einen DC dazu zwingen kann, einen ausgehenden Authentifizierungsversuch zu unternehmen (mithilfe von Techniken wie PrinterBug, DFSCoerce, PetitPotam oder ähnlichen Zwangsmethoden) und wenn diese Authentifizierung NTLMv1 verwendet, ist die erfasste Antwort deutlich schwächer als eine, die NTLMv2 verwendet.
NTLMv1-Antworten können häufig mit moderner Hardware oder vorberechneten Tabellen schnell geknackt werden. Dadurch kann ein Angreifer den NT-Hash des Passworts des Computer-Kontos erlangen.
Aber das ist noch nicht alles ...und hier wird der Unterschied wirklich entscheidend.
Angreifer benötigen nicht einmal den NT-Hash.
Stattdessen können sie die erzwungene NTLMv1-Authentifizierung direkt an einen anderen DC weiterleiten, auf dem keine LDAPS-Kanalbindung erzwungen wird (eine weitere alarmierend häufige Fehlkonfiguration). Durch die Weiterleitung der Maschinenkontenauthentifizierung des DC über LDAP kann der Angreifer
eine von zwei schwerwiegenden Angriffen durchführen:
Beide Wege führen zum gleichen Ergebnis: vollständige Kontrolle über den DC. Von der anfänglichen Manipulation bis zur vollständigen Kompromittierung der Domäne kann weniger als eine Minute vergehen.
Es ist kein Hash-Cracking erforderlich. Zum Starten sind keine erhöhten Berechtigungen notwendig. Es wird lediglich ein NTLMv1-fähiger DC und eine fehlende LDAP-Kanalbindungsdurchsetzung benötigt.
Die praktische Erkenntnis
Falls Sie die LAN Manager-Authentifizierungsstufe 2 (oder eine niedrigere Stufe) aus Gründen der Kompatibilität mit älteren Anwendungen beibehalten, können Sie bereits heute auf Stufe 3 umsteigen, ohne dass diese Anwendungen beeinträchtigt werden.
Es wird empfohlen, die Stufen 4 und 5 für den Fall zu reservieren, dass Sie LM und NTLMv1 in Ihrer Umgebung vollständig auslaufen lassen möchten, da diese Stufen die eingehende NTLMv1-Authentifizierung ablehnen. (Hinweis: In Windows Server 2025 sind ausgehende Verbindungen mit LM und NTLMv1 nicht mehr zulässig.)
Bitte beachten Sie diesen Ablauf:
- Stufe 2: Der DC akzeptiert eingehende LM- und NTLMv1-Authentifizierungen und sendet NTLMv1-Ausgehende. Ältere Anwendungen funktionieren, jedoch sind DCs gefährdet.
- Stufe 3: Der DC akzeptiert eingehende LM- und NTLMv1-Authentifizierungen, sendet jedoch keine NTLMv1-Ausgehende. Ältere Anwendungen funktionieren weiterhin, und Ihre DCs sind geschützt.
- Stufe 4: Der DC sendet NTLMv2 ausgehend, lehnt eingehendes LM ab, akzeptiert jedoch weiterhin eingehendes NTLMv1. Diese Stufe ist mit den meisten Anwendungen kompatibel und schützt Ihre DCs.
- Stufe 5: Der DC lehnt alle eingehenden und ausgehenden LM- und NTLMv1-Authentifizierungen vollständig ab. Diese Stufe bietet umfassende Absicherung, jedoch funktionieren ältere Anwendungen nicht mehr.
Wenn Sie Domänencontroller in einer Umgebung mit älteren Authentifizierungsanforderungen verwalten, sollte Stufe 3 Ihre Mindestanforderung sein. Die Einstellung der LAN-Manager-Authentifizierungsstufe auf Stufe 3 ist eine Änderung mit geringem Risiko und hohem Nutzen, die oft übersehen wird, da die falschen Vorstellungen hinsichtlich der Kompatibilität so tief verwurzelt sind.
