NTLM steht für „NT Lan Manager“ und ist ein Authentifizierungs- und Anmeldeverfahren zwischen Clients und Server unter Windows. Viele Netzwerke funktionieren heute schon überwiegend mit Kerberos. Trotzdem taucht NTLM immer wieder auf und das kann durchaus ein Sicherheitsrisiko sein.

NTLM Authentifizierung in Windows einfach erklärt

Was ist NTLM in einfachen Worten

NTLM ist ein Anmeldeverfahren. Es wird genutzt, damit ein Client sich gegenüber einem Server ausweisen kann. Du kennst das vielleicht, wenn Du eine Windows Datei Freigabe einrichtest oder auf eine Freigabe zugreifen willst. Oder du willst auf einen internen Web Dienst zugreifen. Oder du meldest einen Benutzer in einer alten Anwendung an.

NTLM arbeitet grob nach dem Prinzip Herausforderung und Antwort. Der Server stellt eine Aufgabe. Der Client liefert eine Antwort, die aus dem Kennwort abgeleitet ist. So kann der Server prüfen, ob die Anmeldedaten stimmen, ohne dass das Kennwort selbst direkt über das Netz gesendet wird.

Wo NTLM heute noch auftaucht

NTLM taucht auch heute noch oft in Netzwerken auf. Es wird immer dann genutzt, wenn Kerberos nicht funktioniert oder nicht genutzt werden kann. Das passiert leider viel häufiger als viele denken. Ein typischer Auslöser ist ein Zugriff auf einen Server per IP Adresse statt per Namen. Ein anderer Auslöser ist eine fehlende oder falsche Kerberos Konfiguration für den Dienst. Auch lokale Konten auf einem Domänen PC können NTLM begünstigen.

NTLM kann auch in Spezialfällen rund um RPC sichtbar werden. Wenn du verstehen willst, warum RPC in vielen Windows Bereichen eine Rolle spielt, dann hilft dir dieser Beitrag: RPC Aufgabe und Funktion in Windows einfach erklärt.


Windows-FAQ Newsletter

Hier könnt Ihr Euch bei unserem Windows-FAQ Newsletter anmelden.

Ist NTLM sicher?

NTLM gilt als veraltet und unsicher. Das heißt nicht, dass jede NTLM Anmeldung automatisch eine Gefahr ist. Aber es heißt, dass moderne Angriffsarten NTLM oft gezielt ausnutzen. Das Risiko steigt besonders dann, wenn NTLM breit im Netzwerk erlaubt bleibt und wenn du nicht siehst, wo es genutzt wird.

Ein wichtiger Punkt ist, dass NTLM weniger Schutzmechanismen bietet als moderne Alternativen. Deshalb ist der Trend klar. NTLM soll Schritt für Schritt verschwinden. Genau darum lohnt sich der Umstieg auf Kerberos und das kontrollierte Abschalten von NTLM.

Welche Angriffe sind typisch, wenn NTLM im Netz bleibt

Es gibt mehrere typische Muster. Ein Angreifer versucht Anmeldedaten mitzuschneiden oder weiterzuleiten. Ein Angreifer versucht Kennwort Hashes auszunutzen. Und ein Angreifer testet Passwörter mit vielen Versuchen. Das nennt man oft Brute Force.

Wenn du das Thema Brute Force greifbar machen willst, dann schau dir diesen Beitrag an: Brute Force Schutz gegen Angriffe

NTLM vs Kerberos

NTLM vs Kerberos – Unterschied einfach erklärt

Was ist der Unterschied zwischen NTLM und Kerberos

Kerberos ist das Standardverfahren in Active Directory Umgebungen. Kerberos arbeitet mit Tickets. Du kannst dir das wie Eintrittskarten vorstellen. Du bekommst nach der Anmeldung ein Ticket. Damit kannst du später Dienste nutzen, ohne dich jedes Mal neu ausweisen zu müssen.

Was der Unterschied für dich im Alltag bedeutet

Mit Kerberos bekommst du oft stabileres Single Sign On. Du hast weniger Kennwort Abfragen. Und du hast im Idealfall weniger unerwartete Ausweichwege, die alte Protokolle aktivieren.

NTLM ist dagegen oft der stille Rückfall. Wenn Kerberos scheitert, geht es häufig trotzdem irgendwie weiter. Genau das ist der Grund, warum NTLM so lange im Einsatz bleibt. Und genau das ist der Grund, warum du eine saubere Audit Phase brauchst, bevor du NTLM blockierst. Denn sonst kann es Dir passieren, dass nach dem Abschalten von NTLM nichts mehr funktioniert!

NTLM Nachfolger und Microsoft Roadmap zur Abschaltung

Was ist der Nachfolger von NTLM

Der wichtigste Nachfolger ist Kerberos. In modernen Windows Umgebungen ist Kerberos die erste Wahl. Und Windows entwickelt zusätzliche Kerberos basierte Lösungen, damit alte NTLM Gründe wegfallen. Dazu gehören Lösungen für Situationen ohne Kontakt zum Domain Controller und Lösungen für lokale Konten.

In Dateidiensten wird zusätzlich daran gearbeitet, NTLM speziell in Verbindung mit SMB Kontext zu blockieren. Das hilft dir, weil du damit eine große Angriffsfläche direkt an einer wichtigen Stelle reduzierst.

Wann wird NTLM abgeschaltet

Es gibt nicht den einen Stichtag, an dem plötzlich alles aus ist. Es gibt eine schrittweise Umstellung. Ein Teil davon betrifft NTLMv1. Auf modernen Systemen ist NTLMv1 schon stark eingeschränkt. Dazu kommen neue Audit Funktionen, die dir zeigen, warum NTLM überhaupt noch genutzt wird.

Für NTLM insgesamt ist der Plan, dass Netzwerk NTLM in zukünftigen Windows Versionen standardmäßig deaktiviert wird. Das bedeutet nicht, dass NTLM sofort komplett entfernt wird. Es bedeutet, dass du es aktiv wieder erlauben musst, wenn du es noch brauchst. Darum lohnt es sich, jetzt mit einem Audit zu starten und die Umstellung gut zu planen.

NTLM abschalten Anleitung

NTLM abschalten Schritt für Schritt Anleitung in Active Directory

Vorbereitung: Finde heraus, wo NTLM noch benutzt wird

Der wichtigste Schritt ist Sichtbarkeit. Du willst nicht raten. Du willst sehen, welche Clients, welche Server und welche Prozesse NTLM benutzen. Dazu brauchst du Logs. Du findest die Logs in der Ereignisanzeige. Wenn du eine kurze Einführung brauchst, dann lies zuerst diesen Beitrag: Windows Ereignisanzeige verstehen und nutzen.

Wenn du Logs lieber exportierst und zentral sammelst, dann kann dir auch dieses Tool helfen: Wevtutil: Windows Ereignisprotokoll bearbeiten und exportieren

Schritt für Schritt: NTLM Auditing aktivieren

Diese Schritte sind für eine Active Directory Domäne gedacht. Wenn du die Gruppenrichtlinienverwaltung auf deinem Admin PC brauchst, dann hilft dir diese Anleitung: Windows 11 RSAT Active Directory Tools installieren

  1. Öffne die Gruppenrichtlinienverwaltung auf deinem Admin PC.
  2. Erstelle eine neue Gruppenrichtlinie nur für NTLM Auditing. Verwende einen klaren Namen, zum Beispiel NTLM Audit.
  3. Verknüpfe diese Richtlinie testweise nur mit einer kleinen Pilot OU. Starte nicht direkt breit im ganzen Unternehmen.
  4. Gehe in der Richtlinie zu Computerkonfiguration, Windows Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien, Sicherheitsoptionen.
Netzwerksicherheit - Beschränken von NTLM
  1. Aktiviere die Audit Einstellungen, die mit „Netzwerksicherheit: Beschränken NTLM….“ beginnen. Ziel ist, dass du eingehende und ausgehende NTLM Nutzung protokollierst.
  2. Aktiviere zusätzlich auf Domain Controllern die Audit Einstellung für NTLM Anmeldungen in der Domäne. Nutze dafür eine eigene Richtlinie auf der Domain Controller OU, damit du die Wirkung sauber trennst.
  3. Warte, bis die Richtlinien angewendet sind. Du kannst auf einem Test Client ein Richtlinien Update anstoßen und danach neu anmelden.

Jetzt sammelst du Daten. Plane dafür ein paar Tage ein. In vielen Umgebungen siehst du NTLM nicht sofort. Manche Anwendungen laufen nur einmal pro Woche. Manche Geräte melden sich nur an, wenn jemand druckt oder scannt.

So liest du die NTLM Logs richtig

Öffne auf einem Client oder Server die Windows Ereignisanzeige. Gehe zu Anwendungs und Dienstprotokolle. Gehe dann zu Microsoft, Windows, NTLM, Operational. Dort findest du Einträge, die dir zeigen, wann NTLM genutzt wird.

Wichtig: Es ist wichtig zu wissen, welcher Client die Anmeldung gestartet hat. Du willst wissen, welcher Server das Ziel war. Und du willst wissen, welcher Prozess beteiligt war. Das ist wirklich Gold wert für die Umstellung. Diese Infos sollten Dir die Logs geben.

Schritt für Schritt: NTLM kontrolliert blockieren

Wenn du verstanden hast, wo NTLM noch genutzt wird, kannst du blockieren. Mach das in Stufen. So bleibt dein Risiko klein.

  1. Starte mit einer kleinen Pilot Gruppe von Clients. Dort blockierst du zuerst ausgehendes NTLM. So siehst du, welche Ziele noch NTLM verlangen.
  2. Danach gehst du auf ausgewählte Server. Dort blockierst du eingehendes NTLM. Das ist oft der Schritt, der alte Geräte sofort sichtbar macht.
  3. Plane Ausnahmen bewusst. Wenn ein System kurzfristig nicht umstellbar ist, dann begrenze NTLM so eng wie möglich auf genau dieses System.
  4. Erst wenn deine Pilot Phase stabil ist, rollst du die Blockierung breiter aus.
  5. Ganz am Ende folgt die domänenweite Blockierung auf den Domain Controllern. Das ist der Schritt, der wirklich alles erwischt, was noch über NTLM in der Domäne validiert werden will.

Was kann passieren, wenn du NTLM abschaltest

Ein NTLM Cut kann Dinge kaputt machen. Das ist normal. Du willst nur, dass es nicht überraschend passiert.

  • Alte Geräte können sich nicht mehr anmelden. Das betrifft oft NAS Systeme, Drucker, Scanner oder alte Embedded Geräte.
  • Freigaben lassen sich nicht mehr verbinden. Nutzer sehen dann Fehler beim Zugriff auf Netzlaufwerke.
  • Du bekommst wiederholte Kennwort Abfragen. Das wirkt wie ein Anmeldeproblem, ist aber oft eine NTLM Blockierung.
  • Manche RPC basierten Verbindungen melden plötzlich Fehler. Das kann in Admin Tools auffallen.
  • Externe Vertrauensstellungen können stärker betroffen sein, wenn dort NTLM häufiger genutzt wird.

Wenn du bei solchen Symptomen schneller an die Ursache willst, dann hilft es, den Windows Anmeldedienst zu kennen. Lies dazu: Windows Anmeldedienst NetLogon Aufgabe und Funktion

Prüfen, ob die Umstellung wirklich funktioniert hat

Du prüfst die Umstellung am besten immer auf drei Ebenen.

  1. Funktionstest: Melde dich an einem Pilot Client an. Öffne die wichtigsten Apps. Greife auf die wichtigsten Datei Freigaben zu. Starte auch Dinge, die selten genutzt werden, zum Beispiel alte Management Tools.
  2. Logtest: Schau in der NTLM Operational Ansicht nach, ob noch NTLM Ereignisse für die Pilot Gruppe auftauchen. Wenn du blockierst, sollten auch Block Ereignisse sichtbar werden. Das zeigt dir, was noch nicht umgestellt ist.
  3. Kerberos Plausibilität: Prüfe, ob der Zugriff mit Namen erfolgt und nicht per IP. Prüfe auch, ob die Uhrzeiten im Netz sauber sind. Kerberos ist sehr empfindlich bei Zeitabweichungen.

Wenn du Benutzer und Gruppen auf einem Test Client schnell prüfen willst, kann dir dieses Kommando helfen: Whoami Informationen über den angemeldeten User abrufen

Troubleshooting bei NTLM Blockierung

Typische Symptome und ein einfacher Diagnose Ablauf

Wenn nach der Blockierung etwas nicht mehr geht, bleib ruhig. Am besten Du gehst dann wie folgt vor.

  1. Prüfe zuerst die NTLM Logs auf Client und Server. Dort siehst du oft sofort, welcher Prozess und welches Ziel betroffen ist.
  2. Prüfe, ob der Zugriff per Name erfolgt. Ein Zugriff per IP führt sehr oft zu NTLM.
  3. Prüfe DNS und Zeit Synchronisation. Das sind die häufigsten Kerberos Bremsen.
  4. Prüfe, ob lokale Konten beteiligt sind. Lokale Konten sind ein typischer Grund für NTLM.

Rückfall Plan, wenn etwas Kritisches ausfällt

Manchmal musst du schnell reagieren. Dann brauchst du einen sauberen Rückfall Plan.

  1. Setze die NTLM Blockierung für die betroffene Pilot OU wieder zurück. Lass Auditing aber aktiv, damit du weiter Daten sammelst.
  2. Wenn du lokale Richtlinien geändert hast, sichere und dokumentiere die Änderung. Diese Anleitung hilft dir beim Sichern: Lokale Gruppenrichtlinien sichern und zurückspielen
  3. Wenn du komplett zurück musst, dann nutze diese Anleitung: Lokale Gruppenrichtlinien komplett zurücksetzen

Ein letzter Tipp für einen sauberen Umstieg

Mach NTLM nicht zu einem großen Schalter. Mach es zu einem Projekt in kleinen Schritten. Teste einzelne Server oder Applikationen und schalte erst dann ab, wenn Du Dir sicher bist. Im Notfall einfach die Änderungen wieder rückgängig machen. Wenn du deine Active Directory Basis stabil halten willst, dann ist dieser Beitrag ein guter Startpunkt: Active Directory Best Practices im Überblick

Und wenn du Active Directory Objekte schnell prüfen willst, zum Beispiel Computer oder Benutzer, dann hilft dir dsquery: DSQUERY Suche nach Objekten im Active Directory