Starker Authentisierungsmechanismus

Die Güte des Authentisierungsverfahrens bei Netzanmeldungen spielt ebenfalls eine signifikante Rolle für die Gewährleistung der Sicherheit. Insgesamt können drei Authentisierungsmechanismen verwendet werden: LM, NTLMv1 und NTLMv2. Vor Windows 2000 wurde zunächst das LM-Verfahren und ab Windows NT das NTLM-Verfahren (in zwei Versionen) eingesetzt. Die alten Verfahren haben jedoch Schwächen, so dass aus einem übertragenen Authentisierungswert das Kennwort bestimmt werden kann. Den besten Schutz bietet die Version 2 des NTLM Protokolls.

In reinen Windows-Netzen (mit Client- und Server-Betriebssystemen ab Windows 2000) sollte ausschließlich NTLMv2 als das sicherste verfügbare Verfahren eingesetzt werden. Die älteren Protokolle sollten aufgrund ihrer Schwächen abgelehnt werden. Dazu ist in der zugehörigen Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen | Netzwerksicherheit: LAN Manager-Authentifizierungsebene der Wert Nur NTLMv2-Antworten senden\LM& NTLM verweigern einzustellen.

Die Speicherung der LAN Manager-Hashwerte bei Kennwortänderungen sollte deaktiviert werden. Dies wird durch das Aktivieren der Richtlinie Computerkonfiguration | Windows-Einstellungen | Sicherheitseinstellungen | Lokale Richtlinien | Sicherheitsoptionen |Netzwerksicherheit: Keine LAN Manager-Hashwerte für nächste Kennwortänderung speichern erreicht.

Sind noch ältere Systeme im Einsatz (Windows 9x bzw. Windows NT 4.0 vor Service Pack 4), so kann es aus Kompatibilitätsgründen notwendig sein, auch andere Authentisierungsmechanismen zuzulassen, was aus Sicherheitssicht jedoch nicht empfohlen wird. Grundsätzlich wird empfohlen, die älteren Systeme mit Hilfe entsprechender Service Packs zu aktualisieren (Windows NT 4.0 Service Pack 4 oder höher) oder Zusatzsoftware zu verwenden (NTLMv2 ist zusammen mit dem optionalen Client für Verzeichnisdienste auch unter Windows 95/98 verfügbar).