NTLM-Verbindungen auf SMB sperren (Vorschau)

Wichtig

Windows Server 2025 befindet sich in der VORSCHAU. Diese Informationen beziehen sich auf eine Vorabversion des Produkts, an der vor der Veröffentlichung noch wesentliche Änderungen vorgenommen werden können. Microsoft übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, für die hier bereitgestellten Informationen.

Der SMB-Client unterstützt jetzt das Sperren der NTLM-Authentifizierung für ausgehende Fernverbindungen. Das Sperren der NTLM-Authentifizierung verhindert, dass böswillige Akteure Clients dazu verleiten, NTLM-Anfragen an böswillige Server zu senden, und wirkt damit Brute-Force-, Cracking- und Pass-the-Hash-Angriffen entgegen. Das Sperren von NTLM ist auch für die Umstellung der Authentifizierungsprotokolle einer Organisation auf Kerberos erforderlich, das sicherer als NTLM ist, da es die Serveridentitäten mit seinem Ticketsystem verifizieren kann. Unternehmen können diese Schutzebene jedoch auch aktivieren, ohne NTLM vollständig deaktivieren zu müssen.

Voraussetzungen

Das NTLM-Sperren für den SMB-Client erfordert die folgenden Voraussetzungen:

• Einen SMB-Client, der unter einem der folgenden Betriebssysteme ausgeführt wird.
  • Windows Server 2025 oder höher.
  • Windows 11 Insider Build 25951 oder höher.
• Ein SMB-Server, der die Verwendung von Kerberos erlaubt.

Tipp

Das NTLM-Sperren ist nur eine SMB-Client-Funktion. Der SMB-Client ist sowohl in Windows Server- als auch in Windows-Client-Betriebssystemen integriert. Der Ziel-SMB-Server kann ein beliebiges Betriebssystem sein, auf dem PKU2U oder Kerberos verwendet werden kann.

Konfigurieren des SMB-Client-NTLM-Sperrens

Ab Windows Server 2025 und Windows 11 Insiders Build 25951 haben Sie die Möglichkeit, SMB so zu konfigurieren, dass NTLM blockiert wird. Um die Sicherheit von Bereitstellungen mit früheren Windows-Versionen zu verbessern, müssen Sie NTLM manuell deaktivieren, indem Sie entweder die entsprechende Gruppenrichtlinie bearbeiten oder einen bestimmten Befehl in PowerShell ausführen.

So konfigurieren Sie das NTLM-Sperren:

Gruppenrichtlinie

1. Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole.

2. Gehen Sie in der Konsolenstruktur zu Computerkonfiguration>Administrative Vorlagen>Netzwerk>Lanman Workstation.

3. Klicken Sie mit der rechten Maustaste auf Block NTLM (LM, NTLM, NTLMv2) und wählen Sie Bearbeiten.

4. Wählen Sie Aktiviert.

PowerShell

1. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten.

2. Führen Sie den folgenden Befehl aus, um das NTLM-Sperren zu aktivieren.

   Set-SMbClientConfiguration -BlockNTLM $true 
   

Ausnahmen von der NTLM-Sperre zulassen

Es kann Szenarien geben, in denen Sie bestimmten Rechnern die Verwendung von NTLM erlauben müssen, anstatt es global zu sperren. Zum Beispiel, wenn der SMB-Server, mit dem Sie eine Verbindung herstellen wollen, nicht mit einer Active Directory-Domäne verbunden ist.

So aktivieren Sie eine Liste von Ausnahmen von dem NTLM-Sperren:

Gruppenrichtlinie

1. Gehen Sie in der Struktur Gruppenrichtlinien-Editor-Konsole zu Computerkonfiguration>Administrative Vorlagen>Netzwerk>Lanman Workstation.

2. Klicken Sie mit der rechten Maustaste auf Block NTLM Server Exception List und wählen Sie Bearbeiten.

3. Wählen Sie Aktiviert.

4. Geben Sie die IP-Adressen, NetBIOS-Namen und vollständig qualifizierten Domänennamen (FQDNs) der Remotecomputer ein, für die Sie die NTLM-Authentifizierung zulassen möchten.

PowerShell

Es gibt derzeit kein PowerShell-Äquivalent zum Gruppenrichtlinienobjekt „Block NTLM Server Exception List“. Um eine Ausnahmeliste einzurichten, müssen Sie in den Gruppenrichtlinien-Editor gehen und die Einstellung manuell konfigurieren. Sobald Sie die manuelle Einrichtung abgeschlossen haben, können Sie jedoch individuelle Ausnahmen für bestimmte IPs machen, indem Sie diesen Befehl mit dem DNS-Namen, der IP-Adresse oder dem NetBIOS-Namen im Parameter AddToList ausführen:

$params = @{
  Path = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation"
  Name = "BlockNTLMServerExceptionList"
}
$CurrentValue = (Get-ItemProperty @params).BlockNTLMServerExceptionList
$params["Value"] = if ($CurrentValue -eq $null) { @("") } else { $CurrentValue + "AddToList" }
Set-ItemProperty @params 

Sie können dem Parameter AddToList auch mehrere Variablen hinzufügen, indem Sie sie durch ein Komma trennen, wie im folgenden Beispielbefehl gezeigt:

$params = @{
  Path = "HKLM:\SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation"
  Name = "BlockNTLMServerExceptionList"
}
$CurrentValue = (Get-ItemProperty @params).BlockNTLMServerExceptionList
$params["Value"] = if ($CurrentValue -eq $null) { @("") } else { $CurrentValue + "192.168.10.10","corp.contoso.com","CORP" }
Set-ItemProperty @params 

Sperren von NTLM beim Zuordnen von SMB-Laufwerken

Sie können NTLM auch sperren, wenn Sie neue SMB-Laufwerke zuordnen, indem Sie die folgenden Befehle ausführen.

Führen Sie diesen Befehl aus, um das NTLM-Sperren beim Zuordnen eines Laufwerks mit NET USE anzugeben:

NET USE \\server\share /BLOCKNTLM

Führen Sie diesen Befehl aus, um das NTLM-Sperren beim Zuordnen eines SMB-Laufwerks anzugeben:

New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

Zugehöriger Inhalt

• Schutz von SMB-Datenverkehr vor Abhörung

• SMB-Sicherheit

• Schützen des SMB-Datenverkehrs in Windows Server