Schutz der Windows NTLM-Anmeldeinformationen vor Zero-Day-Sicherheitsbedrohungen

Schutz der Windows NTLM-Anmeldeinformationen vor Zero-Day-Sicherheitsbedrohungen

Das veraltete Authentifizierungsprotokoll NTLM (NT LAN Manager) ist zwar immer noch auf Windows-Geräten weit verbreitet, birgt jedoch erhebliche Cybersicherheitsrisiken. Standardmäßig aktiviert, kann NTLM zu einer Schwachstelle werden und Ihre Systemkennwörter bei Malware-Angriffen offenlegen. Angreifer nutzen diese Schwachstellen häufig mit ausgeklügelten Man-in-the-Middle-Techniken (MitM).Daher ist es für Benutzer unerlässlich, proaktiv Maßnahmen zum Schutz ihrer NTLM-Anmeldeinformationen zu ergreifen.

NTLM-Bedrohungen verstehen

NTLM konvertiert Ihr Passwort in ein Hash-Format und ermöglicht so die Überprüfung, ohne das eigentliche Passwort über das Netzwerk übertragen zu müssen. Diese Methode ist jedoch anfällig für Angriffe. Wenn Malware in Ihr System eindringt, könnte Ihr Passwort leicht kompromittiert werden.

Sicherheitsforscher von Check Point haben die jüngste Schwachstelle „CVE-2025-24054“ detailliert beschrieben. Diese führt zu anhaltenden Cyberbedrohungen, die vor allem sensible Daten im Regierungs- und Unternehmenssektor in Polen und Rumänien angreifen. Angreifer setzen verschiedene Techniken ein, darunter Pass-the-Hash (PtH), Rainbow Tables und Relay-Angriffe, die vor allem auf hochrangige Administratorkonten abzielen.

Obwohl diese Angriffe oft auf Organisationen abzielen, sind auch einzelne Benutzer nicht immun. Schon die einfache Interaktion mit einer schädlichen Datei kann zur Offenlegung von Passwörtern führen. Daher ist es wichtig, Ihr Windows-System regelmäßig zu aktualisieren. Microsoft hat ein Sicherheitsupdate veröffentlicht, das diese Art von Angriffen verhindern soll.

1. Deaktivieren Sie die NTLM-Authentifizierung mit PowerShell

Um Ihren Schutz vor NTLM-bezogenen Risiken zu stärken, deaktivieren Sie zunächst die NTLM-Authentifizierung über PowerShell. Gehen Sie folgendermaßen vor:

  1. Starten Sie PowerShell im Administratormodus.
  2. Führen Sie den folgenden Befehl aus, um die NTLM-Nutzung über SMB (Server Message Block) zu blockieren:

Set-SMBClientConfiguration -BlockNTLM $true

Ändern Sie die Ziel-SMB-Clientkonfiguration in PowerShell, um sich vor NTLM-Angriffen zu schützen.

Bestätigen Sie die Änderung mit A für Ja. Durch das Blockieren von NTLM über SMB verringern Sie die Anfälligkeit für PtH- und Relay-Angriffe erheblich, obwohl dies Auswirkungen auf ältere Geräte haben kann, die auf NTLM angewiesen sind.

Wenn Kompatibilitätsprobleme auftreten, können Sie die Einstellung wie folgt zurücksetzen:

Set-SMBClientConfiguration -BlockNTLM $false

2. Wechseln Sie im Registrierungseditor zu NTLMv2

Der Umstieg vom älteren NTLM auf das sicherere NTLMv2 ist entscheidend für mehr Sicherheit. Erstellen Sie zunächst eine Sicherungskopie Ihrer Registrierung und öffnen Sie den Registrierungseditor als Administrator. Navigieren Sie zu folgendem Pfad:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Lsa (Local Security Authority) Registrierungsschlüssel und

Suchen oder erstellen Sie den DWORD-Wert „ LmCompatibilityLevel “.Setzen Sie ihn auf „3“, „4“ oder „5“, um sicherzustellen, dass nur NTLMv2-Antworten gesendet werden und NTLMv1 effektiv blockiert wird.

Passen Sie als nächstes den folgenden Registrierungspfad an:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Stellen Sie sicher, dass das DWORD „ RequireSecuritySignature “ auf „1“ gesetzt ist. Diese Anpassung erfordert die Sicherheitssignatur für SMB-Verbindungen und bietet so zusätzlichen Schutz vor Anmeldeinformationsdiebstahl.

3. Aktivieren Sie den Cloud-Schutz in der Windows-Sicherheit

Wer die Registrierung nicht ändern möchte, kann mit der integrierten Windows-Sicherheitsfunktion umfassenden Schutz vor Online-Bedrohungen bieten. Navigieren Sie dazu zu Viren- und Bedrohungsschutz > Einstellungen verwalten > Cloud-basierter Schutz.

Aktivieren des über die Cloud bereitgestellten Schutzes in der Windows-Sicherheit.

4. Erkundung zusätzlicher Sicherheitsmaßnahmen

Beachten Sie zusätzlich zu den oben genannten Schritten die folgenden weiteren Empfehlungen von Microsoft, um Ihre Abwehrmaßnahmen gegen den Diebstahl von NTLM-Anmeldeinformationen zu stärken:

  • Vermeiden Sie verdächtige Links: Viele NTLM-bezogene Bedrohungen verbreiten sich über Clickbait oder schädliche Links. Auch wenn Windows Security diese Bedrohungen kennzeichnet, sollten Sie vorsichtig sein, um das Risiko zu minimieren.
  • Aktualisieren Sie Ihr System regelmäßig: Suchen Sie konsequent nach Windows-Updates und wenden Sie diese an, um sich vor neu entdeckten Sicherheitslücken zu schützen.
  • Nutzen Sie die Multi-Faktor-Authentifizierung (MFA): Die Implementierung von MFA kann eine zusätzliche Schutzebene bieten und unbefugten Zugriff erheblich erschweren.
  • Informieren Sie sich und andere: Wenn Sie sich über Social-Engineering-Taktiken und Phishing-Schemata im Klaren sind, können Sie eine versehentliche Offenlegung verhindern.

Durch die Durchführung dieser wichtigen Schritte verringern Sie die Wahrscheinlichkeit einer Gefährdung Ihrer Windows NTLM-Anmeldeinformationen erheblich und verbessern so die allgemeine Systemsicherheit.

Ähnliche Artikel:

Optimale Szenarien für die Nutzung des Reasoning-Modus von KI-Chatbots
Erstellen Sie PowerPoint-Folien aus Dokumenten mit Copilot: Hier ist eine Anleitung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert