
Im Rahmen der schrittweisen Abschaffung unsicherer Protokolle hat Microsoft die Unterstützung für das veraltete NTLMv1-Authentifizierungsprotokoll ab Windows 11 Version 24H2 und Windows Server 2025 entfernt und damit die Verwendung sichererer Alternativen wie Kerberos gefördert. Es ist außerdem geplant, dass NTLMv2 in zukünftigen Windows-Versionen veraltet sein wird.
Wenn ein Benutzer versucht, eine Verbindung zu einem Remotecomputer oder NAS-Gerät herzustellen, das nur die NTLMv1-Authentifizierung unterstützt, wird eine Fehlermeldung angezeigt.
Authentication failed because NTLM authentication has been disabled

In diesem Fall können Sie in der Ereignisanzeige Ereignisse finden wie:
ERROR_NTLM_BLOCKEDError code: 1937 (0x791)Authentication failed because NTLM authentication has been disabled.
Wenn Sie versuchen, von einem Computer in einer Arbeitsgruppe über RDP eine Verbindung zu einem Domänengerät unter Windows 11 24H2 herzustellen, erhalten Sie möglicherweise die folgende Fehlermeldung:
An authentication error has occurred.The function requested is not supported.This could be due NTLM authentication being blocked on the remote computer.This also be due to CredSSP encryption oracle remediation.

Fehlende Unterstützung für das NTLMv1-Protokoll kann zu Verbindungsproblemen mit Geräten führen, die nur diese veraltete Authentifizierungsmethode unterstützen. Insbesondere bei Netzwerklaufwerken, die von Synology NAS und TrueNAS gemappt werden, treten Probleme auf. Um solche Geräte weiterhin mit Windows 11 nutzen zu können, müssen Sie sie für die Verwendung von mindestens NTLMv2 konfigurieren (ggf. ist ein Firmware-Update erforderlich).
Überwachung der NTLMv1-Nutzung in Windows-Umgebungen
Die erweiterte NTLM-Authentifizierungsereignisüberwachung ist jetzt auch für Windows 11 24H2 und Windows Server 2025 verfügbar. Ein entsprechendes Ereignis wird von Windows protokolliert, wenn NTLM-Authentifizierung (v1 oder v2) verwendet wird (Ereignisanzeige-> Anwendungs-und Dienstprotokolle-> Microsoft-> Windows-> NTLM-> Betriebsbereit).
Die Einzelheiten solcher Veranstaltungen umfassen:
-
Der Benutzer und der Prozess auf dem Computer haben versucht, die NTLM-Authentifizierung zu verwenden.
-
Welche Version von NTLM wurde verwendet
-
Der Name und/oder die IP-Adresse des Remote-Geräts, das die NTLM-Authentifizierung angefordert hat.
In meinem Beispiel enthält das NTLM-Authentifizierungsprotokoll Informationsmeldungen über die Verwendung der derzeit zulässigen NT LAN Manager-Version 2 sowie Warnungen, wenn versucht wird, die veraltete Version NTLM1v1 zu verwenden.

Die Erfassung von NTLM-Nutzungsereignissen ist standardmäßig aktiviert. Diese Überwachung kann über die Option „NTLM Enhanced Logging“ im GPO-Editor (Administrative Vorlagen-> System-> NTLM) deaktiviert werden.

Auf AD-Domänencontrollern lautet diese Gruppenrichtlinienoption „Erweiterte domänenweite NTLM-Protokolle protokollieren“.
NTLMv1 kann jedoch weiterhin für die Authentifizierung in einigen älteren kryptografischen Algorithmen in Windows verwendet werden, beispielsweise MS-CHAPv2 in einer AD-Domäne. Microsoft empfiehlt, Credential Guard auf Geräten zu aktivieren, um ältere Protokolle zu schützen, die NTLMv1 verwenden.
Microsoft hat eine Roadmap für die Deaktivierung von NTLMv1 auf Geräten veröffentlicht, auf denen Credential Guard deaktiviert ist, und führt schrittweise Überwachungs- und Durchsetzungsänderungen ein, beginnend mit Windows 11 Version 24H2 und Windows Server 2025, um die Sicherheit durch den Ausstieg aus älteren Protokollen zu erhöhen.
Laut dieser Roadmap:
- NTLMv1-Nutzungsüberwachung wurde in aktiviert
August 2025
(Ereignis-ID: 4024)
- Diese Änderungen werden in Windows Server 2025 implementiert
November 2025.
- In
Oktober 2026
Microsoft wechselt vom Überwachungsmodus zur vollständigen Durchsetzung und legt den Standardwert fest, um die Verwendung von NTLMv1-abgeleiteten Anmeldeinformationen für Single Sign-On standardmäßig auf Geräten zu blockieren, auf denen diese Einstellung nicht manuell konfiguriert wurde. Diese Änderung wird durch Festlegen des Registrierungsparameters BlockNtlmv1SSO implementiert. ( HKLM\SYSTEM\currentcontrolset\control\lsa\msv1\_0 ), dessen Wert von 0 (Überwachungsmodus) auf 1 (Erzwingen) geändert wird.
Es wird empfohlen, dass Sie Ihre Umgebung testen, bevor Sie Änderungen vornehmen, um sicherzustellen, dass sie ordnungsgemäß funktioniert, auch wenn NTLM vollständig deaktiviert ist
NTLM über SMB unter Windows blockieren
Eine weitere Änderung in Windows 11 (Version 24H2+) und Windows Server 2025 betrifft die Verwendung von NTLM für die SMB-Authentifizierung. Es ist jetzt möglich, das NTLM-Authentifizierungsprotokoll auf der Clientseite für ausgehende SMB-Verbindungen zu deaktivieren, wenn auf freigegebene Netzwerkordner und Drucker auf Remotecomputern zugegriffen wird.
Deaktivieren Sie NTLM für den SMB-Client vollständig:
Set-SMbClientConfiguration-BlockNTLM $true

Oder Sie können NTLM für ein bestimmtes zugeordnetes Laufwerk deaktivieren:
New-SmbMapping-RemotePath \\srv1\shared-BlockNTLM $true
oder
NET USE \\srv1\shared/BLOCKNTLM
Dadurch wird verhindert, dass der SMB-Client auf NTLM zurückgreift, anstatt das sicherere Kerberos-Protokoll zu verwenden, nachdem er das Authentifizierungsprotokoll über SPNEGO ausgehandelt hat (dies könnte beispielsweise passieren, wenn ein freigegebenes Laufwerk anhand der IP-Adresse anstelle des FQDN zugeordnet wird oder wenn eine Verbindung unter einem lokalen Konto hergestellt wird).
Um die Verwendung der NTLM-Authentifizierung nur für bestimmte Geräte zuzulassen, fügen Sie deren Adressen zur Ausnahmeliste hinzu.
Set-SmbClientConfiguration-BlockNTLMServerExceptionList "192.168.123.12,*.woshub.com"
Diese Einstellungen können über die Gruppenrichtlinienoptionen unter Computerkonfiguration -> Administrative Vorlagen -> Netzwerk -> Lanman Workstation angewendet werden
-
NTLM blockieren (LM, NTLM, NTLMv2)
-
NTLM-Server-Ausnahmeliste blockieren

Es wurde eine neue GPO-Option eingeführt, mit der Sie das Zeitintervall zwischen fehlgeschlagenen NTLM-Authentifizierungsversuchen beim Zugriff auf einen Netzwerkordner begrenzen können. Dieser Parameter heißt Authentifizierungsratenbegrenzer aktivieren (Computerkonfiguration-> Administrative Vorlagen-> Netzwerk-> Lanman-Server). Diese Option schützt den SMB-Server vor Brute-Force- und Wörterbuchangriffen auf freigegebene Ordner, indem sie eine Standardverzögerung von 2 Sekunden (2000 ms) zwischen jedem fehlgeschlagenen NTLM-Authentifizierungsversuch einführt, wodurch Angriffsversuche erheblich verlangsamt werden

*️⃣ Quelllink:
entfernt, CredSSP-Verschlüsselungs-Oracle-Remediation, Roadmap , Credential Guard ist deaktiviert, , NTLM vollständig deaktiviert, gemeinsames Netzwerk Ordner und Drucker,