Sicherheitsleitfaden für NTLMv1 und LM-Netzwerkauthentifizierung

Der Support für Windows XP wurde eingestellt

Microsoft stellte am 8. April 2014 den Support für Windows XP ein. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

Der Support für Windows Server 2003 ist am 14. Juli 2015 abgelaufen.

Microsoft beendete den Support für Windows Server 2003 am 14. Juli 2015. Diese Änderung wirkt sich auf Ihre Softwareupdates und Sicherheitsoptionen aus. Erfahren Sie, was das für Sie bedeutet und wie Sie Ihren Schutz aufrechterhalten können.

EINFÜHRUNG
Informieren Sie sich über die detaillierten Informationen und Tools, die für Angriffe auf NT LAN Manager Version 1 (NTLMv1) und LAN Manager (LM)-Netzwerkauthentifizierung verwendet werden können. Verbesserungen bei der Computerhardware und bei Softwarealgorithmen haben diese Protokolle anfällig gemacht für eine breite Palette an Angriffen, deren Ziel es ist, Benutzerkennwörter auszuspionieren. Die Informationen und verfügbaren Toolsets haben insbesondere Umgebungen zum Ziel, in denen keine NTLMv2-Authentifizierung erzwungen wird. Kunden wird dringend empfohlen, ihre Umgebungen zu bewerten und die Netzwerk-Authentifizierungseinstellungen zu aktualisieren. Alle unterstützten Microsoft-Betriebssysteme stellen Funktionen zur NTLMv2-Authentifizierung bereit.

Gefährdet sind vor allem Systeme, die in der Standardkonfiguration von diesem Problem betroffen sind, beispielsweise Systeme mit Microsoft Windows NT 4, Windows 2000, Windows XP und Windows Server 2003. Standardmäßig unterstützten z. B. Windows XP und Windows Server 2003 die NTLMv1-Authentifizierung. 

In Windows NT werden zwei Optionen für die Herausforderung/Rückmeldung-Authentifizierung in Netzwerkanmeldungen unterstützt: LAN Manager (LM) Challenge/Response und Windows NT Challenge/Response (auch bekannt unter der Bezeichnung NTLM Version 1 Challenge/Response) Beide unterstützen die Zusammenarbeit mit Installationen von Windows NT 4.0, Windows 95, Windows 98 und Windows 98 Second Edition. 


Wenn Sie das Problem automatisch beheben lassen möchten, lesen Sie den Abschnitt "Problem automatisch beheben".
Lösung
Zur Minimierung dieses Risikos wird empfohlen, dass Sie Umgebungen, in denen Windows NT 4, Windows 2000, Windows XP und Windows Server 2003 ausgeführt wird, für die ausschließliche Verwendung von NTLMv2 konfigurieren. Hierzu legen Sie die LAN Manager-Authentifizierungsebene, wie hier beschrieben, auf 3 fest.

Für Windows XP und Windows Server 2003 sind Microsoft Fix it-Lösungen zur automatischen Konfiguration des Systems verfügbar, sodass nur NTLMv2 zugelassen wird. Diese Methode aktiviert auch die NTLM-Einstellungen, die Benutzern die Nutzung des Features Erweiterter Schutz für die Authentifizierung ermöglichen.
Problem automatisch beheben
Die in diesem Abschnitt beschriebene Fix it-Lösung ersetzt kein Sicherheitsupdate. Sie sollten die neuesten Sicherheitsupdates immer installieren. Microsoft bietet diese Fix it-Lösung aber als Möglichkeit zur Problemumgehung für bestimmte Szenarios an.

Microsoft Fix it für Windows XP

Um diese Fix it-Lösung zu aktivieren bzw. zu deaktivieren, klicken Sie auf die Schaltfläche Fix it oder den Link unter der Überschrift Aktivieren. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Aktivieren
Notizen
  • Dieser Assistent ist möglicherweise nur in Englisch verfügbar. Die automatische Korrektur funktioniert aber auch für andere Sprachversionen von Windows.
  • Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf ein Flashlaufwerk oder eine CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.
Microsoft Fix it für Windows Server 2003

Um diese Fix it-Lösung zu aktivieren bzw. zu deaktivieren, klicken Sie auf die Schaltfläche Fix it oder den Link unter der Überschrift Aktivieren. Klicken Sie im Dialogfeld Dateidownload auf Ausführen, und befolgen Sie die Schritte im Fix it-Assistenten.
Aktivieren
Notizen
  • Dieser Assistent ist möglicherweise nur in Englisch verfügbar. Die automatische Korrektur funktioniert aber auch für andere Sprachversionen von Windows.
  • Wenn Sie sich nicht an dem Computer befinden, auf dem das Problem auftritt, können Sie die automatische Korrektur auf ein Flashlaufwerk oder eine CD speichern und anschließend auf dem vom Problem betroffenen Computer ausführen.
Status
Microsoft hat bestätigt, dass es sich hierbei um ein Problem bei den in diesem Artikel genannten Microsoft-Produkten handelt.
Weitere Informationen

FAQ

Sind weitere Informationen zu Bedrohungen und Gegenmaßnahmen für die Windows-Netzwerksicherheit und die LAN Manager-Authentifizierungsebene verfügbar?

Detaillierte Informationen zu Bedrohungen und Gegenmaßnahmen finden Sie im Microsoft TechNet im Threats and Countermeasures Guide. Weitere Informationen zur NTLM-Versionskonfiguration finden Sie unter LmCompatibilityLevel.

Was verursacht das Problem?

Bis Januar 2000 wurde die maximale Schlüssellänge für kryptografische Protokolle durch Exportbeschränkungen begrenzt. Die LM- und NTLM-Authentifizierungsprotokolle wurden vor dem Januar 2000 entwickelt, und deswegen unterlagen sie diesen Beschränkungen. Als Windows XP veröffentlicht wurde, wurde es so konfiguriert, dass die Abwärtskompatibilität mit Authentifizierungsumgebungen, die für Windows 2000 und frühere Versionen entwickelt worden waren, sichergestellt wurde.

Wie kann ich überprüfen, ob meine Konfiguration anfällig ist?

Sie sind von diesem Problem nicht betroffen, wenn die LMCompatibilityLevel-Registrierungseinstellungen auf einen kleineren Wert als (<3) festgelegt wurden.

Welche Windows-Betriebssysteme sind in der Standardkonfiguration davon betroffen? 

Windows NT4, Windows 2000, Windows XP und Windows Server 2003 weisen in der Standardkonfiguration einen LMCompatibilityLevel-Wert auf, der kleiner als (<3) ist.

Welche möglichen Risiken sind mit dem Erzwingen von NTMLv2 verbunden?

Alle unterstützten Versionen des Betriebssystems Windows unterstützen NTLMv2. Windows NT 4.0 SP6a unterstützt ebenfalls NTLMv2. Aus diesem Grund ist das Risiko, dass Kompatibilitätsprobleme auftreten, sehr gering. Ältere Implementierungen oder Konfigurationen von Drittanbieter müssen unter Umständen auf Interoperabilitätsprobleme geprüft werden. Eine Neukonfiguration oder ein Upgrade kann dieses Problem beheben. Kunden werden dringend empfohlen, entsprechende Maßnahmen zum Konfigurieren und Aktualisieren ihres Netzwerk zu ergreifen, um NTLMv1 zu identifizieren und auslaufen zu lassen. Die Verwendung des Protokolls NTLMv1 hat definitiv nachteilige Auswirkungen auf die Netzwerksicherheit und gefährdet diese möglicherweise.

Zu welchen Zwecken können Angreifer die Sicherheitsanfälligkeit ausnutzen?

Ein Angreifer könnte Authentifizierungshashes aus erfassten LM- und NTLM-Netzwerk-Authentifizierungsantworten extrahieren.

Wo finde ich Informationen dazu, wie NTLMv2 in nicht mehr unterstützten Versionen von Microsoft Windows aktiviert wird? 

Detaillierte Informationnen zu NTLMv2 für Windows NT, Windows 95, Windows 98 und Windows 98 Second Edition finden Sie im Microsoft Knowledge Base-Artikel 239869.
Danksagung
Microsoft dankt bei folgenden Personen, die uns geholfen haben, Kunden zu schützen:
  • Mark Gamache von T-Mobile USA, der uns geholfen hat, Kunden vor Angriffen auf NTLMv1 (NT LAN Manager Version 1) und LAN Manager (LM)-Netzwerkauthentifizierung zu schützen.
update security_patch security_update security bug flaw vulnerability malicious attacker exploit registry unauthenticated buffer overrun overflow specially-formed scope specially-crafted denial of service DoS TSE
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen.
Eigenschaften

Artikelnummer: 2793313 – Letzte Überarbeitung: 01/11/2013 15:37:00 – Revision: 1.0

Microsoft Windows Server 2003 Service Pack 2, Microsoft Windows XP Service Pack 3

  • atdownload kbbug kbexpertiseinter kbfix kbsecbulletin kbsecurity kbsecvulnerability kbmsifixme kbfixme KB2793313
Feedback