Tags: Windows 11, Authentifizierung, Dateisystem, Gruppenrichtlinien
Microsoft setzt mit der aktuellen Insider Preview von Windows 11 seine Bemühungen fort, die Verwendung von alten und unsicheren Protokollen zurückzudrängen. Daher können Admins künftig die NTLM-Authentifizierung für SMB-Verbindungen blockieren und bestimmte SMB-Versionen ausschließen. Dies lässt sich über Gruppenrichtlinien oder PowerShell erledigen.
Alte SMB-Versionen und NTLM sind notorische Einfallstore für Angreifer. Sie vollständig zu abzuschalten ist aus Kompatibilitätsgründen oft nicht möglich. Microsoft verzichtet aber zumindest in aktuellen Versionen von Windows darauf, SMB v1 zu installieren.
Darüber hinaus hat Microsoft zuletzt einige Mechanismen eingeführt, um die betagten Protokolle besser abzusichern. Dazu gehört, dass die SMB-Signierung künftig in Windows 11 standardmäßig aktiviert wird und dass NTLM einen Schutz gegen Brute-Force-Angriffe erhält.
NTLM-Authentifizierung blockieren
Mit dem Build 25951 bietet der SMB-Client in Windows 11 die Möglichkeit, NTLM zu blockieren. Standardmäßig handeln Client und Server über den SPNEGO-Mechanismus das Protokoll für die Authentifizierung aus. Bei einer Verbindung zwischen Rechnern, die einer Domäne angehören, kommt normalerweise Kerberos zum Zug.
Angreifer können aber die Tatsache ausnutzen, dass Windows unter bestimmten Umständen NTLM verwendet, um User auf einen präparierten Server zu locken und beispielsweise den Hash abzugreifen. CVE-2023-23397 in Outlook beruht genau auf diesem Mechanismus.
Windows 11 erhält nun eine Gruppenrichtlinie, mit welcher der SMB-Client alle Versionen von NTLM blockiert. Sie findet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => LanMan-Arbeitsstation.
Zusätzlich besteht die Möglichkeit, NTLM mit PowerShell für alle oder nur bestimmte Verbindungen mit einem SMB-Server zu deaktivieren:
Set-SMbClientConfiguration -BlockNTLM $true
Dieser Aufruf ändert die Konfiguration des SMB-Clients global, während man so nur eine bestimmte Verbindung anpasst:
New-SmbMapping -RemotePath \\server\share -BlockNTLM $true
Den jeweiligen Status dieser Eigenschaft kann man dann mit
Get-SMbClientConfiguration | select BlockNTLM
und
Get-SmbMapping | select BlockNTLM
abfragen. Auch das alte net use verfügt nun über einen Schalter /blockntlm.
Wenn man SMB NTLM blockiert hat, kann es aber auch innerhalb einer AD-Domäne vorkommen, dass der Aufbau einer Verbindung scheitert. Der Grund dafür ist, dass Windows auch dort unter folgenden Voraussetzungen NTLM verwendet:
- Der Client stellt eine Verbindung über eine IP-Adresse her;
- Der Kerberos CIFS Service Principal Name fehlt im Active Directory für den SMB-Server;
- Für die Anmeldung am SMB-Server wird ein lokales Benutzerkonto verwendet.
Wenn sich diese Hürden für einzelne Server nicht beseitigen lassen, dann kann man aktuell für sie keine Ausnahmen definieren. Dies soll sich jedoch laut Ankündigung in Zukunft ändern, Microsoft möchte zu diesem Zweck eine Whitelist einführen.
Für das Troubleshooting kann man die NTLM-Authentifizierung überwachen.
SMB-Versionen eingrenzen
Bei SMB handeln Client und Server standardmäßig die höchste, von beiden Seiten unterstützte Version des Protokolls aus. Mit zwei neuen Gruppenrichtlinien erhalten Admins aber nun die Möglichkeit, eine minimale und ein maximale Version von SMB festzulegen.
Auf diese Weise lassen sich ältere und weniger sichere Ausführungen ausschließen. Die niedrigste verfügbare Version ist dabei die 2.0.2. Wenn sich eine Organisation hier beispielsweise auf die jüngste Variante 3.1.1 festlegt, dann lassen sich alle älteren nicht mehr nutzen.
Allerdings besteht auch die Möglichkeit, neuere SMB-Dialekte ausschließen, indem man eine maximale Version definiert. Aus der Ankündigung geht nicht hervor, welchen Zweck diese Option erfüllt.
Die Kompatibilität mit älteren Geräten ist ja auch so durch Aushandeln einer gemeinsamen Version gegeben, so dass es aus dieser Sicht nicht notwendig ist, neueste SMB-Dialekte zu blockieren.
Die Gruppenrichtlinie zur Festlegung einer minimalen und maximalen SMB-Version existiert sowohl für den Client (ausgehende Verbindung) als auch den Server (eingehende Verbindung). Sie befindet sich unter Computerkonfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => LanMan-Arbeitsstation bzw. LanMan-Server.
Auch hier sieht Microsoft eine Konfiguration mittels PowerShell vor. Die Cmdlets Set-SmbClientConfiguration und Set-SmbServerConfiguration erhielten jeweils die Parameter Smb2DialectMin und Smb2DialectMax. Als Werte kommen analog zu den Gruppenrichtlinien SMB202 bis SMB311 in Frage.
Abfragen kann man die aktuellen Einstellungen über Get-SmbClientConfiguration und Get-SmbServerConfiguration.
Wie man obiger Abbildung entnehmen kann, sind standardmäßig alle SMB-Versionen zulässig.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Benutzer am Login-Bildschirm anzeigen oder ausblenden mit Gruppenrichtlinien
- Windows 11 September-Update: Integration von KI, neue Win365- und Authentifizierungs-Funktionen
- Microsoft bringt neue Gruppenrichtlinie für optionale Updates in Windows 11
- EvergreenAdmx: Administrative Vorlagen automatisch aktualisieren
- NTLM-Authentifizierung überwachen oder blockieren mit Gruppenrichtlinien
Weitere Links