Neue Policies: SMB NTLM blockieren, minimale SMB-Version erzwingen

    , 14.09.2023, zuletzt aktualisiert am 14.10.2023
    Tags: , , , ,

    NTLM-AuthentifizierungMicrosoft setzt mit der aktuellen Insider Preview von Windows 11 seine Bemühungen fort, die Ver­­wendung von alten und un­sicheren Proto­kollen zurück­zu­drän­gen. Daher können Admins künftig die NTLM-Authen­ti­fi­zierung für SMB-Ver­bindungen blockieren und be­stimmte SMB-Versionen ausschließen. Dies lässt sich über Gruppen­richt­linien oder Power­Shell erledigen.

    Alte SMB-Versionen und NTLM sind notorische Einfallstore für Angreifer. Sie vollständig zu abzuschalten ist aus Kompatibilitäts­gründen oft nicht möglich. Microsoft verzichtet aber zumindest in aktuellen Versionen von Windows darauf, SMB v1 zu installieren.

    Darüber hinaus hat Microsoft zuletzt einige Mechanismen eingeführt, um die betagten Protokolle besser abzusichern. Dazu gehört, dass die SMB-Signierung künftig in Windows 11 standardmäßig aktiviert wird und dass NTLM einen Schutz gegen Brute-Force-Angriffe erhält.

    NTLM-Authentifizierung blockieren

    Mit dem Build 25951 bietet der SMB-Client in Windows 11 die Möglichkeit, NTLM zu blockieren. Standardmäßig handeln Client und Server über den SPNEGO-Mechanismus das Protokoll für die Authentifizierung aus. Bei einer Verbindung zwischen Rechnern, die einer Domäne angehören, kommt normalerweise Kerberos zum Zug.

    Angreifer können aber die Tatsache ausnutzen, dass Windows unter bestimmten Umständen NTLM verwendet, um User auf einen präparierten Server zu locken und beispielsweise den Hash abzugreifen. CVE-2023-23397 in Outlook beruht genau auf diesem Mechanismus.

    Windows 11 erhält nun eine Gruppenrichtlinie, mit welcher der SMB-Client alle Versionen von NTLM blockiert. Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => LanMan-Arbeitsstation.

    Die neuen Gruppenrichtlinien für SMB und NTLM

    Zusätzlich besteht die Möglichkeit, NTLM mit PowerShell für alle oder nur bestimmte Verbindungen mit einem SMB-Server zu deaktivieren:

    Set-SMbClientConfiguration -BlockNTLM $true

    Dieser Aufruf ändert die Konfiguration des SMB-Clients global, während man so nur eine bestimmte Verbindung anpasst:

    New-SmbMapping -RemotePath \\server\share -BlockNTLM $true

    Den jeweiligen Status dieser Eigenschaft kann man dann mit

    Get-SMbClientConfiguration | select BlockNTLM

    und

    Get-SmbMapping | select BlockNTLM

    abfragen. Auch das alte net use verfügt nun über einen Schalter /blockntlm.

    Wenn man SMB NTLM blockiert hat, kann es aber auch innerhalb einer AD-Domäne vor­kommen, dass der Aufbau einer Verbindung scheitert. Der Grund dafür ist, dass Windows auch dort unter folgenden Voraussetzungen NTLM verwendet:

    • Der Client stellt eine Verbindung über eine IP-Adresse her;
    • Der Kerberos CIFS Service Principal Name fehlt im Active Directory für den SMB-Server;
    • Für die Anmeldung am SMB-Server wird ein lokales Benutzerkonto verwendet.

    Wenn sich diese Hürden für einzelne Server nicht beseitigen lassen, dann kann man aktuell für sie keine Ausnahmen definieren. Dies soll sich jedoch laut Ankündigung in Zukunft ändern, Microsoft möchte zu diesem Zweck eine Whitelist einführen.

    Für das Troubleshooting kann man die NTLM-Authentifizierung überwachen.

    SMB-Versionen eingrenzen

    Bei SMB handeln Client und Server standardmäßig die höchste, von beiden Seiten unterstützte Version des Protokolls aus. Mit zwei neuen Gruppen­richtlinien erhalten Admins aber nun die Möglichkeit, eine minimale und ein maximale Version von SMB festzulegen.

    Auf diese Weise lassen sich ältere und weniger sichere Ausführungen ausschließen. Die niedrigste verfügbare Version ist dabei die 2.0.2. Wenn sich eine Organisation hier beispielsweise auf die jüngste Variante 3.1.1 festlegt, dann lassen sich alle älteren nicht mehr nutzen.

    Allerdings besteht auch die Möglichkeit, neuere SMB-Dialekte ausschließen, indem man eine maximale Version definiert. Aus der Ankündigung geht nicht hervor, welchen Zweck diese Option erfüllt.

    Die Kompatibilität mit älteren Geräten ist ja auch so durch Aushandeln einer gemeinsamen Version gegeben, so dass es aus dieser Sicht nicht notwendig ist, neueste SMB-Dialekte zu blockieren.

    Die Gruppenrichtlinie zur Festlegung einer minimalen und maximalen SMB-Version existiert sowohl für den Client (ausgehende Verbindung) als auch den Server (eingehende Verbindung). Sie befindet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => LanMan-Arbeitsstation bzw. LanMan-Server.

    Auswahl der zulässigen SMB-Versionen mittels Gruppenrichtlinien

    Auch hier sieht Microsoft eine Konfiguration mittels PowerShell vor. Die Cmdlets Set-SmbClientConfiguration und Set-SmbServerConfiguration erhielten jeweils die Parameter Smb2DialectMin und Smb2DialectMax. Als Werte kommen analog zu den Gruppenrichtlinien SMB202 bis SMB311 in Frage.

    Abfragen kann man die aktuellen Einstellungen über Get-SmbClientConfiguration und Get-SmbServerConfiguration.

    Einstellungen für minimale und maximale SMB-Versionen abfragen

    Wie man obiger Abbildung entnehmen kann, sind standardmäßig alle SMB-Versionen zulässig.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links