Netzwerksicherheit: LAN Manager-Authentifizierungsebene
Hier werden bewährte Methoden, Speicherort, Werte, Richtlinienverwaltung und Sicherheitsaspekte für die Sicherheitsrichtlinieneinstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene beschrieben.
Referenzen
Diese Richtlinieneinstellung bestimmt, welches Abfrage/Rückmeldung-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. LAN Manager (LM) enthält Clientcomputer- und Serversoftware von Microsoft, mit der Benutzer persönliche Geräte in einem einzelnen Netzwerk miteinander verknüpfen können. Zu den Netzwerkfunktionen zählen transparente Datei- und Druckerfreigabe, Benutzersicherheitsfeatures und Netzwerkverwaltungstools. In Active Directory-Domänen ist das Kerberos-Protokoll das Standardauthentifizierungsprotokoll. Wenn jedoch aus irgendeinem Grund kein Kerberos-Protokoll ausgehandelt wird, verwendet Active Directory LM, NTLM oder NTLM Version 2 (NTLMv2).
Die LAN Manager-Authentifizierung enthält LM-, NTLM- und NTLMv2-Varianten. Darüber hinaus wird dieses Protokoll verwendet, um alle Clientgeräte mit dem Windows-Betriebssystem zu authentifizieren, wenn die folgenden Vorgänge ausgeführt werden:
Beitritt zu einer Domäne
Authentifizierung zwischen Active Directory-Gesamtstrukturen
Authentifizierung bei Domänen, die auf älteren Versionen des Windows-Betriebssystems basieren
Authentifizierung bei Computern, auf denen keine Windows-Betriebssysteme ausgeführt werden (ab Windows 2000)
Authentifizierung bei Computern, die nicht Teil der Domäne sind
Mögliche Werte
LM- und NTLM-Antworten senden
LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt)
Nur NTLM-Antworten senden
Nur NTLMv2-Antworten senden
Nur NTLMv2-Antworten senden. LM verweigern
Nur NTLMv2-Antworten senden. LM und NTLM verweigern
Nicht definiert
Die Einstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene bestimmt, welches Abfrage/Rückmeldung-Authentifizierungsprotokoll für Netzwerkanmeldungen verwendet wird. Diese Auswahl hat Auswirkungen auf die von Clients verwendete Authentifizierungsprotokollebene, die von den Computern ausgehandelte Sitzungssicherheitsebene sowie die von Servern akzeptierte Authentifizierungsebene. Die folgende Tabelle enthält die Richtlinieneinstellungen, eine Beschreibung der jeweiligen Einstellung und die Sicherheitsebene, die in der entsprechenden Registrierungseinstellung verwendet wird, wenn Sie festlegen, dass diese Einstellung von der Registrierung und nicht von der Richtlinieneinstellung gesteuert werden soll.
| Einstellung | Beschreibung | Registrierungssicherheitsstufe |
|---|---|---|
LM- und NTLM-Antworten senden |
Clientgeräte verwenden LM- und NTLM-Authentifizierung, aber nie die NTLMv2-Sitzungssicherheit. Domänencontroller akzeptieren LM-, NTLM- und NTLMv2-Authentifizierung. |
0 |
LM- und NTLM-Antworten senden (NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt) |
Clientgeräte verwenden LM- und NTLM-Authentifizierung und NTLMv2-Sitzungssicherheit, sofern diese vom Server unterstützt wird. Domänencontroller akzeptieren LM-, NTLM- und NTLMv2-Authentifizierung. |
1 |
Nur NTLM-Antworten senden |
Clientgeräte verwenden NTLMv1-Authentifizierung und NTLMv2-Sitzungssicherheit, sofern diese vom Server unterstützt wird. Domänencontroller akzeptieren LM-, NTLM- und NTLMv2-Authentifizierung. |
2 |
Nur NTLMv2-Antworten senden. |
Clientgeräte verwenden NTLMv2-Authentifizierung und NTLMv2-Sitzungssicherheit, sofern diese vom Server unterstützt wird. Domänencontroller akzeptieren LM-, NTLM- und NTLMv2-Authentifizierung. |
3 |
Nur NTLMv2-Antworten senden. LM verweigern |
Clientgeräte verwenden NTLMv2-Authentifizierung und NTLMv2-Sitzungssicherheit, sofern diese vom Server unterstützt wird. Die LM-Authentifizierung wird von den Domänencontrollern nicht akzeptiert. Sie akzeptieren nur NTLM- und NTLMv2-Authentifizierung. |
4 |
Nur NTLMv2-Antworten senden. LM und NTLM verweigern |
Clientgeräte verwenden NTLMv2-Authentifizierung und NTLMv2-Sitzungssicherheit, sofern diese vom Server unterstützt wird. Die LM- und NTLM-Authentifizierung wird von den Domänencontrollern nicht akzeptiert. Sie akzeptieren nur NTLMv2-Authentifizierung. |
5 |
Bewährte Methoden
- Bewährte Methoden sind von Ihren spezifischen Sicherheits- und Authentifizierungsanforderungen abhängig.
Ort
Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Sicherheitsoptionen
Standardwerte
In der folgenden Tabelle sind die tatsächlichen und effektiven Standardwerte für diese Richtlinie aufgeführt. Standardwerte werden auch auf der Eigenschaftenseite der Richtlinie aufgelistet.
| Servertyp oder Gruppenrichtlinienobjekt | Standardwert |
|---|---|
Standarddomänenrichtlinie |
Nicht definiert |
Standardrichtlinie für Domänencontroller |
Nicht definiert |
Standardeinstellungen für eigenständige Server |
Nur NTLMv2-Antworten senden |
Effektive Standardeinstellungen für DC |
Nur NTLMv2-Antworten senden |
Effektive Standardeinstellungen für Mitgliedsserver |
Nur NTLMv2-Antworten senden |
Effektive Standardeinstellungen für Clientcomputer |
Nicht definiert |
Richtlinienverwaltung
In diesem Abschnitt werden die verfügbaren Features und Tools zum Verwalten dieser Richtlinie beschrieben.
Neustartanforderung
Keine. Wenn Änderungen an dieser Richtlinie lokal gespeichert oder über Gruppenrichtlinien verteilt werden, treten sie ohne einen Neustart des Geräts in Kraft.
Gruppenrichtlinie
Das Ändern dieser Einstellung kann sich auf die Kompatibilität mit Clientgeräten, Diensten und Anwendungen auswirken.
Sicherheitsaspekte
In diesem Abschnitt wird beschrieben, wie ein Angreifer ein Feature oder dessen Konfiguration missbrauchen kann und wie Gegenmaßnahmen implementiert werden können. Zudem werden mögliche negative Auswirkungen der Implementierung von Gegenmaßnahmen erläutert.
Sicherheitsrisiko
Diese Einstellung ist unter Windows 7 und Windows Vista nicht definiert. Unter Windows Server 2008 R2 und höher ist für diese Einstellung Nur NTLMv2-Antworten senden konfiguriert.
Gegenmaßnahme
Legen Sie für die Einstellung Netzwerksicherheit: LAN Manager-Authentifizierungsebene die Option Nur NTLMv2-Antworten senden fest. Microsoft und eine Reihe unabhängiger Organisationen empfehlen dringend diese Authentifizierungsebene, wenn alle Clientcomputer NTLMv2 unterstützen.
Mögliche Auswirkung
Clientgeräte, die die NTLMv2-Authentifizierung nicht unterstützen, können in der Domäne nicht authentifiziert werden und können nicht mithilfe von LM und NTLM auf Domänenressourcen zugreifen.