Security – NTLMv2 Enforcement
Security – NTLMv2 Enforcement
GPO-Dokumentation / ISMS-Nachweis
🎯 Zweck der Richtlinie
Diese Gruppenrichtlinie erzwingt die Verwendung von NTLMv2 und verhindert die Nutzung der unsicheren Authentifizierungsverfahren LM und NTLMv1.
Ziel ist die Erhöhung der Authentifizierungssicherheit und die Erfüllung von Compliance-Anforderungen (ISO 27001 / BSI).
📌 GPO-Informationen
Name der GPO:
Security – NTLMv2 Enforcement
Geltungsbereich:
Alle Windows-Clients und -Server (DCs bei Bedarf separat)
Verantwortlich:
IT-Security / Domain-Administratoren
🛠 Enthaltene Richtlinien & Einstellungen
1. LAN-Manager / NTLM-Einstellungen
Pfad:
Computerkonfiguration → Windows-Einstellungen → Sicherheitseinstellungen → Lokale Richtlinien → Sicherheitsoptionen
| Richtlinie | Wert | Zweck |
|---|---|---|
| Netzwerksicherheit: LAN Manager-Authentifizierungsebene | Nur NTLMv2-Antworten senden. LM- und NTLM verweigern. | Erzwingt NTLMv2 |
| Speichern von LAN Manager-Hashwerten verhindern | Aktiviert | Entfernt unsichere LM-Hashes |
| RestrictSendingNTLMTraffic (Registry) | 2 | NTLM-Ausgehend blockieren |
| NTLMMinClientSec | 0x20000000 | 128-Bit Session Security |
| NTLMMinServerSec | 0x20000000 | 128-Bit Session Security |
🔒 Sicherheit & Risikoanalyse
| Risiko | Beschreibung | Bewertung | Maßnahme |
|---|---|---|---|
| Unsichere Authentifizierung | LM & NTLM1 leicht kompromittierbar | Hoch | NTLMv2 erzwingen |
| Pass-the-Hash / Relay | Alte Protokolle erleichtern Angriffe | Mittel | NTLMv1/LM blockieren |
| Legacy-Geräte inkompatibel | Alte Drucker/NAS benötigen NTLM1 | Niedrig–Mittel | Monitoring & Ausnahmen |
| Compliance-Verstoß | Unsichere Protokolle verletzen BSI/ISO | Hoch | Hardening-GPO |
🚀 Rollout-Plan
Phase 1 – Monitoring
NTLM-Restriktion auf „Überwachen“ setzen, Logs prüfen.
Phase 2 – Analyse
Betroffene Geräte identifizieren (Eventlog → NTLM Operational Log).
Phase 3 – Anpassung
Legacy-Geräte ersetzen oder NTLMv2 aktivieren.
Phase 4 – Rollout
GPO produktiv aktivieren (NTLMv2 only).
Phase 5 – Review
Nach 7–14 Tagen Logs prüfen, ISMS-Dokumentation aktualisieren.
📝 Änderungsprotokoll
| Datum | Änderung | Verantwortlich |
|---|---|---|
| TT.MM.JJJJ | GPO erstellt | IT-Security |
| TT.MM.JJJJ | Testphase durchgeführt | Systemadmin |
| TT.MM.JJJJ | Produktiver Rollout | Domain Admin |
| TT.MM.JJJJ | Abnahme durch ISMS | ISMS-Beauftragter |
📎 Anhänge
- Importierbare GPO-Vorlage (.txt)
- NTLM-Monitoring-Logs #todo
- Audit-Report ISO/BSI
Diese Vorlage wurde automatisch für die Verwendung in BookStack optimiert.