SMB Client Block NTLM

SMB-Client Block NTLM

Windows 11

NTLM am SMB-Client deaktivieren

NTLM hat seine Schwächen und diese Authentifizierungsmethode lässt sich nun (in Kürze) für ausgehende Remote-Verbindungen abschalten. Damit fällt beim Aushandeln eines Sicherheitspakets LM, NTLM und NTLMv2 weg.

Bei einer Deaktivierung (SMB-Client Block NTLM), z.B. über eine Gruppenrichtlinie kann die SPNEGO-Erweiterung, die ein Verhandlungsmechanismus für das (GSS-API) Generic Security Service Application Program Interface bereitstellt, den Authentifizierungsmechanismus NTLM nicht mehr anbieten.

Mit dieser Option können wir Administratoren NTLM über SMB verhindern.

Ein Angreifer erhält so keine NTLM-Challenge-Antworten mehr und wir verhindern dadurch Brute-Force Attacken.

Keine Hashes, kein Angriff!

SMB-Client Block NTLM

Über den Gruppenrichtlinien-Editor gelangen wir über diesen Weg zur Richtlinie:

Computerkonfiguration > Administrative Vorlagen > Netzwerk > LanMan-Arbeitsstation > Block NTLM (LM, NTLM, NTLMv2)

SMB-Client Block NTLM

SMB-Client Block NTLM per Powershell

Die neuen Powershell-Befehle für die manuelle Deaktivierung von NTLM am SMB-Client wären:

Set-SMbClientConfiguration -BlockNTLM $true

SMB-Client Block NTLM per Powershell
Get-SMbClientConfiguration | select BlockNTLM

NTLM am SMB-Client deaktivieren

SMB-Mapping per Powershell Block NTLM

New-SmbMapping -RemotePath \\WIN11PREVIEW\Share -BlockNTLM $true
Get-SmbMapping | select BlockNTLM

SMB-Mapping per Powershell Block NTLM

SMB-Client Block NTLM per CMD

NET USE \\WIN11PREVIEW\Share /BLOCKNTLM

SMB-Client Block NTLM per CMD

Probleme bei der Authentifizierung

Jedem sollte klar sein, wenn man NTLM abschaltet, muss die Kerberos-Authentifizierung  vollumfänglich gewährleistet sein.

Eine RDP-Verbindung kann dann nur noch über den FQDN aufgebaut werden. Wer es trotzdem über eine IP-Adresse versucht wird scheitern, denn das  braucht den Authentifizierungsmechansimus NTLM.

Sollten SPNs (Service Principal Name) fehlen, dann gibt es ein Fallback auf NTLM. NTLM ist aber deaktiviert, das heißt man stößt auf einen Fehler. Zur Überwachung empfehle ich die Einstellung an den DCs wie folgt. Siehe Artikel > Sicherheitsaudit.

SMB-Signierung Dialect 3.1.1

Als weitere Härtungsmaßnahme sollte der SMB-Dialect entsprechend eingestellt werden. Mehr dazu in einem verlinkten Artikel.

SMB-Signierung Dialect 3.1.1