NTLM
Veraltetes Windows-Authentifizierungsprotokoll, das aufgrund seiner Anfälligkeit für Pass-the-Hash- und Relay-Angriffe schrittweise durch Kerberos ersetzt wird.
NTLM (NT LAN Manager) ist ein von Microsoft entwickeltes Authentifizierungsprotokoll, das in Windows-Netzwerken seit den 1990er-Jahren verwendet wird. Es basiert auf einem Challenge-Response-Verfahren, bei dem der Passwort-Hash des Benutzers zur Authentifizierung dient — ohne dass das Klartextpasswort übertragen wird. Obwohl Kerberos seit Windows 2000 das bevorzugte Protokoll ist, bleibt NTLM in vielen Active-Directory-Umgebungen als Fallback aktiv und ist damit einer der häufigsten Angriffsvektoren.
Wie NTLM funktioniert
Die Authentifizierung läuft in drei Schritten ab: Der Client sendet eine Anmeldeanfrage an den Server. Der Server antwortet mit einer zufälligen Challenge (Nonce). Der Client verschlüsselt diese Challenge mit dem NTLM-Hash seines Passworts und sendet die Response zurück. Der Server validiert die Response, indem er denselben Vorgang mit dem gespeicherten Hash durchführt.
Das grundlegende Problem: Der Passwort-Hash ist der Schlüssel zur Authentifizierung. Wer den Hash besitzt, kann sich authentifizieren — das Klartextpasswort ist dafür nicht erforderlich. Diese Eigenschaft ist die Grundlage für Pass-the-Hash-Angriffe.
NTLM-Versionen
| Version | Eingeführt | Hash-Algorithmus | Sicherheitsniveau |
|---|---|---|---|
| LM (LAN Manager) | 1987 | DES-basiert, max. 14 Zeichen | Unsicher — in Sekunden knackbar |
| NTLMv1 | 1993 | MD4-Hash, DES-Challenge | Unsicher — anfällig für Relay und Cracking |
| NTLMv2 | 1998 | HMAC-MD5, Client-Challenge | Besser, aber weiterhin anfällig für Relay-Angriffe |
LM-Hashes sollten in keiner modernen Umgebung mehr existieren, sind aber in der Praxis gelegentlich noch auf älteren Systemen zu finden. NTLMv1 ist ebenfalls als unsicher einzustufen und sollte deaktiviert werden. NTLMv2 ist die einzige akzeptable Version, wenn NTLM nicht vollständig abgeschaltet werden kann — ist aber immer noch deutlich unsicherer als Kerberos.
Angriffe auf NTLM
NTLM ermöglicht eine Reihe von Angriffstechniken, die in der Praxis regelmäßig erfolgreich ausgenutzt werden.
Pass-the-Hash verwendet gestohlene NTLM-Hashes direkt zur Authentifizierung an anderen Systemen — ohne Cracking. NTLM-Relay fängt eine laufende NTLM-Authentifizierung ab und leitet sie an ein anderes Zielsystem weiter, um sich dort im Namen des Opfers anzumelden. NTLM-Downgrade zwingt Systeme, auf NTLM zurückzufallen, obwohl Kerberos verfügbar wäre, um die schwächere Authentifizierung ausnutzen zu können. Und Brute-Force-Cracking knackt erbeutete NTLMv1/v2-Hashes offline mit Tools wie Hashcat — NTLMv1-Hashes sind in der Regel innerhalb von Minuten gebrochen.
Die Kombination dieser Techniken macht NTLM zu einem bevorzugten Werkzeug für Lateral Movement in Unternehmensnetzwerken.
NTLM abschalten — warum es schwierig ist
Microsoft empfiehlt seit Jahren die Deaktivierung von NTLM und hat mit Windows Server 2025 erstmals konkrete Schritte zur standardmäßigen Abschaltung eingeleitet. In der Praxis scheitert die Deaktivierung häufig an Legacy-Abhängigkeiten: Ältere Anwendungen, die keine Kerberos-Authentifizierung unterstützen, Drucker und Netzwerkgeräte mit NTLM-only-Firmware, und Workgroup-Umgebungen ohne Domain Controller, in denen Kerberos nicht verfügbar ist.
Der empfohlene Weg ist ein schrittweiser Ansatz: Zunächst NTLM-Auditing aktivieren (GPO „Netzwerksicherheit: NTLM einschränken" im Audit-Modus), um alle NTLM-Authentifizierungen zu protokollieren. Dann die Abhängigkeiten identifizieren und nach Möglichkeit auf Kerberos migrieren. Schließlich NTLM erst blockieren, wenn alle Abhängigkeiten aufgelöst oder in eine Ausnahmeliste aufgenommen sind.
Schutzmaßnahmen bei aktivem NTLM
Wo NTLM nicht sofort abgeschaltet werden kann, reduzieren folgende Maßnahmen das Risiko: LAPS verhindert, dass ein einzelner gestohlener Hash laterale Bewegung auf alle Systeme ermöglicht. Credential Guard isoliert NTLM-Hashes in einer virtualisierten Umgebung und entzieht sie dem Zugriff durch Dumping-Tools. EPA (Extended Protection for Authentication) und Channel Binding erschweren NTLM-Relay-Angriffe. Und das Tiering-Modell stellt sicher, dass privilegierte Hashes nicht auf niedrig eingestuften Systemen exponiert werden.
Relevanz für KMUs
In vielen mittelständischen Umgebungen läuft NTLM unbemerkt im Hintergrund — als Fallback, weil es nie bewusst abgeschaltet wurde. Der erste Schritt ist die Aktivierung des NTLM-Auditings per GPO, um Transparenz über die tatsächliche Nutzung zu schaffen. Häufig zeigt sich, dass nur wenige Legacy-Systeme NTLM tatsächlich benötigen, während der Großteil der Authentifizierung bereits über Kerberos läuft. Die gezielte Deaktivierung für den Großteil der Umgebung bei gleichzeitiger Ausnahme für unvermeidliche Legacy-Systeme ist ein realistischer und wirkungsvoller Ansatz.