Ändern der Kompatibilität der LAN-Manager-Identifizierung

Dieser Tipp gilt für: Windows XP, Vista, 7, 8, 8.1, 10

Windows bietet zwei Arten der Netzwerk-Identifizierung: Die LanManager Identifizierung (LM) und die NT Identifizierung (NTLM)
Die LanManager Identifizierung (LM) ist nicht so sicher wie die NT-Identifizierung, so dass hierüber leichter Angriffe möglich sind.

Die NTLM Authentifizierung

Eine Authentifizierung mit NTLM beginnt damit, dass der Client den Benutzernamen an den Server sendet. Der Server sendet daraufhin eine Zufallszahl an den Clienten. Der Client sendet nun das durch die Zufallszahl verschlüsselte Benutzerpasswort zurück. Der Server verschlüsselt ebenfalls das Benutzerpasswort mit der Zufallszahl und vergleicht die beiden Ergebnisse miteinander und bestätigt bei Übereinstimmung die Authentifizierung.
Mit NTLM wurde unter anderem ein Problem behoben, dass lange Passwörter angreifbarer als kurze Passwörter sein konnten.

Kompatiblitätslevel anpassen

Es stehen 6 Sicherheitsstufen zur Verfügung:

Kompatiblitätslevel Auswirkungen
Stufe 0 Sendet LM- und NTLM-Antworten
Stufe 1 Benutzt NTLMv2, wenn möglich
Stufe 2 Sendet nur NTLM-Antworten
Stufe 3 Sendet nur NTLMv2-Antworten
Stufe 4 DC verweigert LM-Antworten
Stufe 5 DC verweigert LM- und NTLM-Antworten (nur NTLMv2)

Um die Identifizirung anzupassen drücken Sie zunächst die Windows Taste + R, um den Ausführen-Dialog zu öffnen. Geben Sie anschließend regedit ein.
Unter dem Pfad HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ Lsa finden Sie den Dword-Wert LMCompatibilityLevel, wo Sie durch die Eingabe von 0 – 5 das Sicherheitslevel festlegen können. Der Standard-Wert ist 0 bzw. ab Windows Vista 3.

Weiterführende Links

Den LM-Hash deaktivieren
Null Sessions deaktivieren