Sicherheitsleitfaden für NTLMv1 und LM-Netzwerkauthentifizierung

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2793313 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

Informieren Sie sich über die detaillierten Informationen und Tools, die für Angriffe auf NT LAN Manager Version 1 (NTLMv1) und LAN Manager (LM)-Netzwerkauthentifizierung verwendet werden können. Verbesserungen bei der Computerhardware und bei Softwarealgorithmen haben diese Protokolle anfällig gemacht für eine breite Palette an Angriffen, deren Ziel es ist, Benutzerkennwörter auszuspionieren. Die Informationen und verfügbaren Toolsets haben insbesondere Umgebungen zum Ziel, in denen keine NTLMv2-Authentifizierung erzwungen wird. Kunden wird dringend empfohlen, ihre Umgebungen zu bewerten und die Netzwerk-Authentifizierungseinstellungen zu aktualisieren. Alle unterstützten Microsoft-Betriebssysteme stellen Funktionen zur NTLMv2-Authentifizierung bereit.

Gefährdet sind vor allem Systeme, die in der Standardkonfiguration von diesem Problem betroffen sind, beispielsweise Systeme mit Microsoft Windows NT 4, Windows 2000, Windows XP und Windows Server 2003. Standardmäßig unterstützten z. B. Windows XP und Windows Server 2003 die NTLMv1-Authentifizierung. 

In Windows NT werden zwei Optionen für die Herausforderung/Rückmeldung-Authentifizierung in Netzwerkanmeldungen unterstützt: LAN Manager (LM) Challenge/Response und Windows NT Challenge/Response (auch bekannt unter der Bezeichnung NTLM Version 1 Challenge/Response) Beide unterstützen die Zusammenarbeit mit Installationen von Windows NT 4.0, Windows 95, Windows 98 und Windows 98 Second Edition. 


Wenn Sie das Problem automatisch beheben lassen möchten, lesen Sie den Abschnitt "Problem automatisch beheben".

Lösung

Zur Minimierung dieses Risikos wird empfohlen, dass Sie Umgebungen, in denen Windows NT 4, Windows 2000, Windows XP und Windows Server 2003 ausgeführt wird, für die ausschließliche Verwendung von NTLMv2 konfigurieren. Hierzu legen Sie die LAN Manager-Authentifizierungsebene, wie hier beschrieben, auf 3 fest.

Für Windows XP und Windows Server 2003 sind Microsoft Fix it-Lösungen zur automatischen Konfiguration des Systems verfügbar, sodass nur NTLMv2 zugelassen wird. Diese Methode aktiviert auch die NTLM-Einstellungen, die Benutzern die Nutzung des Features Erweiterter Schutz für die Authentifizierung ermöglichen.

Problem automatisch beheben

Die in diesem Abschnitt beschriebene Fix it-Lösung ersetzt kein Sicherheitsupdate. Sie sollten die neuesten Sicherheitsupdates immer installieren. Microsoft bietet diese Fix it-Lösung aber als Möglichkeit zur Problemumgehung für bestimmte Szenarios an.

Microsoft Fix it für Windows XP

Um diese Fix it-Lösung zu aktivieren bzw. zu deaktivieren, klicken Sie auf die Schaltfläche Fix it oder den Link unter der Überschrift Aktivieren. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Tabelle minimierenTabelle vergrößern
Aktivieren
Fix this problem
Microsoft Fix it 50969
Notizen
  • Dieser Assistent ist möglicherweise nur in Englisch verfügbar. Die automatische Korrektur funktioniert aber auch für andere Sprachversionen von Windows.
  • Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf ein Flashlaufwerk oder eine CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.
Microsoft Fix it für Windows Server 2003

Um diese Fix it-Lösung zu aktivieren bzw. zu deaktivieren, klicken Sie auf die Schaltfläche Fix it oder den Link unter der Überschrift Aktivieren. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Tabelle minimierenTabelle vergrößern
Aktivieren
Fix this problem
Microsoft Fix it 50970
Notizen
  • Dieser Assistent ist möglicherweise nur in Englisch verfügbar. Die automatische Korrektur funktioniert aber auch für andere Sprachversionen von Windows.
  • Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf ein Flashlaufwerk oder eine CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.

Status

Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.

Weitere Informationen

FAQ

Sind weitere Informationen zu Bedrohungen und Gegenmaßnahmen für die Windows-Netzwerksicherheit und die LAN Manager-Authentifizierungsebene verfügbar?

Detaillierte Informationen zu Bedrohungen und Gegenmaßnahmen finden Sie im Microsoft TechNet im Threats and Countermeasures Guide. Weitere Informationen zur NTLM-Versionskonfiguration finden Sie unter LmCompatibilityLevel.

Was verursacht das Problem?

Bis Januar 2000 wurde die maximale Schlüssellänge für kryptografische Protokolle durch Exportbeschränkungen begrenzt. Die LM- und NTLM-Authentifizierungsprotokolle wurden vor dem Januar 2000 entwickelt, und deswegen unterlagen sie diesen Beschränkungen. Als Windows XP veröffentlicht wurde, wurde es so konfiguriert, dass die Abwärtskompatibilität mit Authentifizierungsumgebungen, die für Windows 2000 und frühere Versionen entwickelt worden waren, sichergestellt wurde.

Wie kann ich überprüfen, ob meine Konfiguration anfällig ist?

Sie sind von diesem Problem nicht betroffen, wenn die LMCompatibilityLevel-Registrierungseinstellungen auf einen kleineren Wert als (<3) festgelegt wurden.

Welche Windows-Betriebssysteme sind in der Standardkonfiguration davon betroffen? 

Windows NT4, Windows 2000, Windows XP und Windows Server 2003 weisen in der Standardkonfiguration einen LMCompatibilityLevel-Wert auf, der kleiner als (<3) ist.

Welche möglichen Risiken sind mit dem Erzwingen von NTMLv2 verbunden?

Alle unterstützten Versionen des Betriebssystems Windows unterstützen NTLMv2. Windows NT 4.0 SP6a unterstützt ebenfalls NTLMv2. Aus diesem Grund ist das Risiko, dass Kompatibilitätsprobleme auftreten, sehr gering. Ältere Implementierungen oder Konfigurationen von Drittanbieter müssen unter Umständen auf Interoperabilitätsprobleme geprüft werden. Eine Neukonfiguration oder ein Upgrade kann dieses Problem beheben. Kunden werden dringend empfohlen, entsprechende Maßnahmen zum Konfigurieren und Aktualisieren ihres Netzwerk zu ergreifen, um NTLMv1 zu identifizieren und auslaufen zu lassen. Die Verwendung des Protokolls NTLMv1 hat definitiv nachteilige Auswirkungen auf die Netzwerksicherheit und gefährdet diese möglicherweise.

Zu welchen Zwecken können Angreifer die Sicherheitsanfälligkeit ausnutzen?

Ein Angreifer könnte Authentifizierungshashes aus erfassten LM- und NTLM-Netzwerk-Authentifizierungsantworten extrahieren.

Wo finde ich Informationen dazu, wie NTLMv2 in nicht mehr unterstützten Versionen von Microsoft Windows aktiviert wird? 

Detaillierte Informationnen zu NTLMv2 für Windows NT, Windows 95, Windows 98 und Windows 98 Second Edition finden Sie im Microsoft Knowledge Base-Artikel 239869.

Danksagung

Microsoft dankt bei folgenden Personen, die uns geholfen haben, Kunden zu schützen:
  • Mark Gamache von T-Mobile USA, der uns geholfen hat, Kunden vor Angriffen auf NTLMv1 (NT LAN Manager Version 1) und LAN Manager (LM)-Netzwerkauthentifizierung zu schützen.
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen.

Eigenschaften

Artikel-ID: 2793313 - Geändert am: Freitag, 11. Januar 2013 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003 Service Pack 2, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3, wenn verwendet mit:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Keywords: 
atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com