Technologie einfach erklärt

So schützen Sie Ihre Windows NTLM-Anmeldeinformationen vor Zero-Day-Bedrohungen

Windows Ntlm Credential Featured

Windows-Geräte verwenden eine ältere Anmeldemethode namens NTLM, die standardmäßig aktiviert ist. Im Falle eines Malware-Angriffs kann dies Ihr Systempasswort für Hacker offenlegen. Sie können verschiedene Arten von Man-in-the-Middle-Angriffen verwenden, um Ihre Windows-Anmeldedaten zu stehlen. Glücklicherweise können Sie Ihre Windows NTLM-Anmeldeinformationen durch einige einfache Anpassungen in den NTLM-Einstellungen vor Zero-Day-Bedrohungen schützen.

Wie Windows NTLM-Bedrohungen Ihre Passwörter stehlen

NTLM (NT LAN Manager) ist eine ältere Authentifizierungsmethode, die immer noch auf vielen Windows-Geräten verwendet wird. Es funktioniert, indem es Ihr Passwort in einen Code (Hash) umwandelt, um Sie zu verifizieren, ohne das Passwort über das Netzwerk zu senden. Dies ist nicht sicher, da Ihr Anmeldepasswort für Angreifer sichtbar ist, wenn Ihr PC kompromittiert ist.

Im April 2025 berichtete der Sicherheitsforscher Check Point über die Offenlegung von NTLM-Hashes durch eine Schwachstelle namens „CVE-2025-24054“. Laut ihnen handelt es sich um einen laufenden Cyberangriff, der gezielt auf Regierungs- und Unternehmensbenutzer in Polen und Rumänien abzielt. Angreifer verwenden verschiedene Arten von Man-in-the-Middle-Angriffen, darunter Pass-the-Hash (PtH), Regenbogentabellen und Relay-Angriffe. Ihr Hauptziel sind privilegierte Benutzer oder Administratoren.

Während NTLM-Angriffe oft Unternehmen und Regierungen ins Visier nehmen, sind auch Heimbenutzer anfällig. Allein das Interagieren mit einer bösartigen Datei kann Ihr Systempasswort preisgeben.

Microsoft hat einen Sicherheitspatch für CVE-2025-24054 veröffentlicht. Es ist also immer gut, Ihr Windows-System auf dem neuesten Stand zu halten, um diese Angriffe zu verhindern. Davon abgesehen gibt es noch einige andere Dinge, die Sie tun können.

1. Deaktivieren Sie die NTLM-Authentifizierung über PowerShell

Öffnen Sie PowerShell im Administratormodus und geben Sie Folgendes ein. Sie werden eine weitere Frage finden, ob Sie die angegebene SMB-Clientkonfiguration ändern möchten. Dafür klicken Sie auf A.

Set-SMBClientConfiguration -BlockNTLM $true

Ändern der Ziel-SMB-Clientkonfiguration in PowerShell zum Schutz vor NTLM-Angriffen.

Das Blockieren von NTLM über SMB hat keine Auswirkungen auf Ihre neuesten Windows-Geräte. Sollten Sie jedoch Probleme mit älteren Druckern, NAS-Servern oder anderen Legacy-Geräten haben, können Sie jederzeit zu NTLM über SMB zurückkehren.

Set-SMBClientConfiguration -BlockNTLM $false

Der Server Message Block (SMB) wird für Dateiübertragungen und Netzwerkverbindungen verwendet. Es ist eine der häufigsten Verbindungen, die von PtH, Relay-Angriffen und anderen Man-in-the-Middle-Angriffen genutzt werden. Durch das Blockieren von NTLM über SMB entfernen Sie ein wichtiges Tor für Angreifer.

2. Deaktivieren Sie das ältere NTLM-Protokoll im Registrierungs-Editor

Viele Windows-Sitzungen werden heutzutage in „Kerberos“ gehostet, einem sehr sicheren Protokoll, das eine ticketbasierte verschlüsselte Authentifizierung verwendet. Es ist jedoch nicht notwendig, NTLM vollständig zu deaktivieren, da es viele Verwendungsmöglichkeiten hat. Stattdessen wechseln wir zum sichereren NTLMv2-Protokoll anstelle von NTLMv1.

Dies kann über den Registrierungs-Editor erfolgen. Machen Sie zuerst eine Sicherung Ihrer Registrierung. Öffnen Sie dann den Registrierungs-Editor im Administratormodus und navigieren Sie zu:

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Lsa (Local Security Authority) Registrierungs-Schlüssel und

Unter dem Registrierungsschlüssel für „Local Security Authority“ (Lsa) gehen Sie zum Wert für die Netzwerksicherheit des LAN-Manager-Authentifizierungsniveaus, „LmCompatibilityLevel“. Falls dieser nicht vorhanden ist, erstellen Sie ein D-WORD (32-Bit) unter Lsa, wie oben gezeigt.

Doppelklicken Sie auf „LmCompatibilityLevel“, um es zu öffnen. Sie werden „0“ als Standardwert finden. Setzen Sie es auf „3“, „4“ oder „5“, was Ihr Windows-Gerät so einstellt, dass es nur NTLMv2-Antworten sendet und alle älteren NTLMv1-Antworten blockiert.

Einstellung von LmCompatibilityLevel auf den Wert 3, wodurch alle NTLMv1 blockiert werden.

Nachdem Sie die obige Änderung vorgenommen haben, gehen Sie zu dem folgenden Pfad:

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Hier finden Sie einen D-WORD-Wert namens „RequireSecuritySignature“ oder „EnableSecuritySignature“. Der Standardwert sollte „1“ sein. Falls nicht, ändern Sie ihn auf „1“. Sobald Sie dies tun, müssen alle zukünftigen SMB-Verbindungen eine SMB-Sicherheitssignatur erfordern. Dies verhindert, dass Ihre Geräteanmeldeinformationen gestohlen werden.

3. Halten Sie den Cloud-Schutz in der Windows-Sicherheit aktiviert

Die oben genannten Registrierungsänderungen sind harmlos. Wenn Sie diese jedoch nicht durchführen möchten, können Sie Ihr Gerät durch eine neue Funktion der Windows-Sicherheit schützen, die alle Bedrohungen wie Phishing-Angriffe, die online auftreten, verhindert. Es kann über Viren- & Bedrohungsschutz -> Einstellungen verwalten -> Cloudbasierter Schutz aufgerufen werden.

Aktivieren des cloudbasierten Schutzes in der Windows-Sicherheit.

Ähnlich: der Zugriff auf ein Endgeräteschutzpaket, wie Microsoft Defender, bietet zusätzlichen Schutz vor Zero-Hour-Bedrohungen.

4. Weitere Sicherheitsmaßnahmen

Microsoft hat die folgenden zusätzlichen Sicherheitsmechanismen empfohlen, um zu vermeiden, Opfer von NTLM-Anmeldeinformationen zu werden:

  • Aktivieren der Mehrfaktorauthentifizierung: Sie können Ihre Passwort- und PIN-basierte Anmeldesicherheit durch Mehrfaktorauthentifizierungsmechanismen verbessern. Gehen Sie zu Einstellungen -> Konten -> Anmeldeoptionen. Hier finden Sie viele Optionen wie Windows Hello und die Erstellung eines physischen Sicherheitsschlüssels mit USB-Geräten.
  • Vermeiden Sie das Klicken auf verdächtige Links: NTLM-Malware verbreitet sich in der Regel über bösartige Links. Obwohl diese möglicherweise von Windows-Sicherheit blockiert werden, warum ein Risiko eingehen gegen diese externen Angriffe? Überprüfen Sie unseren ausführlichen Leitfaden, wie Sie bösartige Nachrichten erkennen und vermeiden können.

Inhalt

  1. Wie Windows NTLM-Bedrohungen Ihre Passwörter stehlen
  2. 1. Deaktivieren Sie die NTLM-Authentifizierung über PowerShell
  3. 2. Deaktivieren Sie das ältere NTLM-Protokoll im Registrierungs-Editor
  4. 3. Halten Sie den Cloud-Schutz in der Windows-Sicherheit aktiviert
  5. 4. Weitere Sicherheitsmaßnahmen
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11