NTLM unter Windows 10 Pro deaktivieren und Ausnahmen festlegen

Folgendes ist ausdrücklich nur fortgeschrittenen Anwenderinnen und Anwendern empfohlen. Als User einer Pro-Version von Windows starten Sie den Editor für lokale Gruppenrichtlinien, indem Sie Windowstaste+R drücken, gpedit.msc eintippen und Enter drücken. Klappen Sie diese Zweige auf: Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen. Scrollen Sie zum Eintrag namens Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern. Doppelklicken Sie den Eintrag, schalten ihn auf Alle verweigern um und bestätigen Sie allfällige Rückfragen und Warnungen des Systems – nachdem Sie folgenden Absatz verinnerlicht haben.

Aufgepasst – gerade im Home Office! Durchs Deaktivieren von NTML wird Ihr System bzw. Ihr Benutzerkonto vom Remote-Servern und lokalen NAS nicht mehr via NTML-Schnittstelle identifizierbar sein. Das bedeutet, dass Remoteserver lokal gespeicherte Anmeldedaten nicht mehr automatisch verwenden können. Zwei Auswirkungen als Beispiele: Falls Sie Remotedesktop-Sitzungen verwenden, müssen Sie sich bei jeder Verbindung zu diesem Remotedesktop einloggen. Die Verwendung der lokal gespeicherten Anmeldedaten ist damit verunmöglicht. Eine andere Auswirkung ist, dass Sie via Windows-Explorer vermutlich nicht mehr auf Ihr NAS kommen. Es gibt aber Abhilfe, die bei Tests im Heimnetzwerk der Autorin auf Anhieb funktioniert hat.

Wenn Sie nicht sicher sind, ob (und welche) von Ihnen verwendete Remoteserver davon betroffen wären, können Sie mal einen Arbeitstag lang im Hintergrund einen Audit fahren: Schalten Sie oben erwähnte Richtlinie nicht auf Alle verweigern, sondern auf Alle überwachen. Melden Sie sich bei allen Servern an, die Sie für Ihre Arbeit so brauchen. Am Ende des Tages öffnen Sie via Windowstaste+R und Eintippen von eventvwr.msc die Ereignisanzeige. Klappen Sie darin folgenden Zweig auf: Anwendungs- und Dienstprotokolle/Microsoft/Windows/NTLM. Hier entdecken Sie einen Eintrag für jede Situation, in der via NTLM lokal gespeicherte Anmeldedaten von einer Serververbindung angefordert wurde. Das typische Beispiel ist der erwähnte Remotedesktop, aber auch Ihr NAS dürfte darin auftauchen.

Verweigern, aber trotzdem zulassen: Sie können NTML verweigern, aber eine Ausnahme für die von Ihnen verwendeten Server festlegen. Bemühen Sie wieder den Gruppenrichtlinieneditor und besuchen Sie wieder den Zweig Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen. Jetzt doppelklicken Sie Netzwerksicherheit: Beschränken von NTLM: Remoteserverausnahmen für die NTLM-Authentifizierung. Tragen Sie da den Servernamen ein, z.B. derserver.example.com; es hat Platz für mehrere Zeilen. Ist eines davon Ihr eigenes NAS, verwenden Sie als Eintrag einfach den Namen Ihres NAS, zum Beispiel Diskstation.

Lassen Sie das Audit noch einen weiteren Tag laufen. Werden jetzt keine neuen Einträge (Zeitstempel beachten) mehr erstellt, die mitteilen, dass der Server beim Deaktivieren von NTLM blockiert würde, haben Sie alle gefunden. Jetzt schalten Sie im Gruppenrichtlinieneditor die folgende Einstellung auf Alle verweigern: Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Sicherheitsoptionen/Netzwerksicherheit: Beschränken von NTLM: Ausgehender NTLM-Datenverkehr zu Remoteservern. Schon haben Sie systemweit eine heikle Sicherheitslücke geschlossen.

Wichtig! Notieren Sie sich, welche Einstellungen Sie gemacht haben. Falls eines Tages die Verbindung mit einem anderen Remotedesktop oder NAS ansteht, werden Sie sich sonst wundern, warum diese nicht mehr richtig oder sogar überhaupt nicht funktioniert. Sie müssen sich daran erinnern, dass Sie den neuen Server wieder als Ausnahme eintragen.