NTLMv2 aktivieren - LAN Manager-Authentifizierung - www.itnator.net

NTLMv2 aktivieren – LAN Manager-Authentifizierung

In Windows und dessen Netzwerken gibt es verschiedene Verfahren, wie die Authentifizierung bei Anmeldungen in Netzwerken von Statten geht. Es gibt verschiedene Arten von Abfrage- und Rückmeldung-Authentifizierungsprotokollen für Netzwerkanmeldungen. Unter Windows haben wir die Möglichkeit Authentifizierungsprotokollstufen zu wählen, welche von Clients verwendet und von Servern akzeptiert werden. Neue Anwendungen und Systeme benötigen NTLMv2. Wie man NTLMv2 aktivieren kann zeigen wir euch.

RyanMcGuire / Pixabay

 

LmCompatibilityLevel

Welche “LmCompatibilityLevel” gibt es? Es gibt verschiedene LmCompatibilityLevel die verwendet, beziehungsweise konfiguriert werden können. Hier wird unterschieden, welche Authentifizierungs-Mechanismen der Client verwendet. Hier wird zwischen LM-, NTLM- und NTLMv2 Authentifizierungen unterschieden. Wir empfehlen die NTLMv2 aktivieren zu lassen, da diese die höchste Sicherheit bietet. Es gibt sechs Stufen, wobei Stufe 5 die höchste Sicherheit bietet. Hier findet ihr die verschiedenen LmCompatibilityLevel:

Level / Stufe

Bedeutung

0

Clients nutzen die LM- und NTLM-Authentifizierung, aber NIE die NTLMv2-Authentifizierung.
Domänencontroller akzeptieren LM-, NTLM- und NTLMv2-Authentifizierung.

1

Clients nutzen die LM- und NTLM-Authentifizierung sowie die NTLMv2-Authentifizierung wenn es vom Server unterstützt wird.
Domänencontroller akzeptieren LM-, NTLM- und NTLMv2-Authentifizierung.

2

Clients nutzen nur die NTLM- und NTLMv2-Authentifizierung.
Domänencontroller akzeptieren LM-, NTLM- und NTLMv2-Authentifizierung.

3

Clients nutzen nur die NTLMv2-Authentifizierung.
Domänencontroller akzeptieren LM-, NTLM- und NTLMv2-Authentifizierung.

4

Clients nutzen nur die NTLMv2-Authentifizierung.
Domänencontroller lehnen LM-Authentifizierung ab und akzeptieren nur NTLM- und NTLMv2-Authentifizierung.

5

Clientsnutzen nur die NTLMv2-Authentifizierung.
Domänencontroller lehnen LM- und NTLM-Authentifizierung ab und akzeptieren nur NTLMv2-Authentifizierung.

Achtung!
Mit Stufe 4 und 5 sollte vorsichtig umgegangen werden, da der Domain Controller die anderen Verbindungen ablehnt.

 

NTLMv2 aktivieren

Viele neue Anwendungen und Anmeldungen setzen das Protokoll NTLMv2 voraus. Deswegen ist es oft Voraussetzung NTLMv2 aktivieren zu lassen. Hierzu gibt es verschiedene Möglichkeiten. Entweder per Gruppenrichtlinie / GPO, oder per Registry. Wir empfehlen die Verwendung von Richtlinien, da diese schöner zu konfigurieren sind.

 

Gruppenrichtlinie / GPO

Die einfachste Möglichkeit um NTLMv2 aktivieren zu können ist meiner Meinung nach die Gruppenrichtlinie / GPO. Hier kann man das Authentifizierungs-Verfahren ganz einfach im Netzwerk konfigurieren. Hierzu gehen wir folgendermaßen vor:

  1. Neue Gruppenrichtlinie erstellen (Computer-Richtlinie)
  2. Zu folgendem Pfad navigieren:
    Computer Configuration\Windows\Settings\Security Settings\Local Policies\Security Options

Hier gibt es den Punkt

  • Englisch: “Network security: LAN Manager authentication level
  • Deutsch: “Netzwerksicherheit: LAN Manager-Authentifizierungsebene

NTLMv2 aktivieren Gruppenrichtlinie gpo

Nach dem Öffnen dieser Richtlinie werden uns die 6 Stufen zur auswahl gegeben. Hier wählen wir die gewünschte Stufe aus und bestätigen mit “OK”. Wenn man sich nicht mehr sicher ist, findet man im Reiter “Erklärung” weitere Informationen.

 

Registry

Natürlich ist das NTLMv2 aktivieren auch per Registry Eintrag möglich. Auch hier wird mit den Stufen gearbeitet. Hierzu gehen wir folgendermaßen vor:

  1. Windows Registry öffnen (Administrator-Rechte)
  2. Zu folgendem Pfad navigieren:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

NTLMv2 aktivieren Registry

Hier gibt es den Eintrag “lmcompatibilitylevel“, welcher bearbeitet werden muss. Mit einem Doppelklick lässt sich dieser bearbeiten. Hier muss die Stufe (oben genannt) als Zahl eingetragen werden.

Johannes Huber
 

In seiner Freizeit macht Johannes nichts lieber, als für ITnator Beiträge zu schreiben. Input bekommt er hierfür von Problemen in der IT Administration von Servern, Clients und vielen weiteren IT Komponenten.

sidebar
>