NTLMv1 switch off on Domain Controllers

1. Why do I need to change the NTLM version?

In the bosch.com forest we still see clients talking NTLMv1, which is old and has a really low security level. It can be decrypted by hackers within a few hours on a normal desktop PC and there are several cracking tools available.

2. Planned dates for switch off

Dates can be requested vie Nexeed Helpdesk

3. What do I need to change?

Short answer:

you need to change the LM-Level to the highest possible value that is compatible with your usecase, but at least level 3.

Long answer:

The LM-Level defines what NTLM versions are accepted as request and response.
The lowest security level is 0, using LM & NTLMv1 request and response as default. The highest level is 5, refusing LM and NTLMv1. You can find all levels in the table below. However level 5 is, of course, preferred but at least level 3 is required (→ The red marked settings should not be used!).

SettingDescriptionRegistry security levelSend LM & NTLM responsesClient devices use LM and NTLM authentication, and they never use NTLMv2 session security. Domain controllers accept LM, NTLM, and NTLMv2 authentication.0Send LM & NTLM –
use NTLMv2 session security if negotiated Client devices use LM and NTLM authentication, and they use NTLMv2 session security if the server supports it. Domain controllers accept LM, NTLM, and NTLMv2 authentication.1Send NTLM response onlyClient devices use NTLMv1 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers accept LM, NTLM, and NTLMv2 authentication.2Send NTLMv2 response onlyClient devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers accept LM, NTLM, and NTLMv2 authentication.3Send NTLMv2 response only. Refuse LMClient devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers refuse to accept LM authentication, and they will accept only NTLM and NTLMv2 authentication.4Send NTLMv2 response only. Refuse LM & NTLMClient devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers refuse to accept LM and NTLM authentication, and they will accept only NTLMv2 authentication.5

4. Nexeed Automation decision matrix

NTLMv2 decision matrix.png — NTLMv2 decision matrix

Client settings #1

KeyValue

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\EnableSecuritySignature

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel

Client settings #2

KeyValue

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\EnableSecuritySignature

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel

Deutsch 🠦 English

1. Warum muss ich die NTLM-Version ändern?

Im bosch.com Umfeld sehen wir immer noch Rechner, die NTLMv1 verwenden, welches alt ist und einen wirklich niedrigen Sicherheitsstandard hat. Es kann von Hackern innerhalb weniger Stunden auf einem normalen Desktop-PC entschlüsselt werden. Hierfür gibt es mehrere Cracking-Tools.

2. Geplante Termine für die Abschaltung

Termine können über den Nexeed Helpdesk angefordert werden

3. Was muss ich ändern?

kurze Antwort:

Sie müssen den LM-Level auf den höchstmöglichen Wert ändern, der mit Ihrem Anwendungsfall kompatibel ist. Mindestens aber auf Level 3.

Ausführliche Antwort:

Das LM-Level definiert, welche NTLM-Versionen als Anfrage und Antwort akzeptiert werden. Die niedrigste Sicherheitsstufe ist 0, standardmäßig mit Senden von LM & NTLM-Antworten. Die höchste Stufe ist 5, Ablehnen von LM & NTLM. Sie können alle Level unten in der Tabelle finden. Natürlich ist Level 5 bevorzugt, aber mindestens Level 3 ist erforderlich ( Die rot markierten Einstellungen sollten nicht verwendet werden!).

EinstellungBeschreibungRegistrierungs-sicherheitsstufeSenden von LM & NTLM-AntwortenClientgeräte verwenden die LM- und NTLM-Authentifizierung und niemals die NTLMv2-Sitzungssicherheit. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.0LM & NTLM senden – NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandeltClientgeräte verwenden die LM- und NTLM-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.1Nur NTLM-Antwort sendenClientgeräte verwenden die NTLMv1-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.2Nur NTLMv2-Antwort sendenClientgeräte verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung.3Nur NTLMv2-Antwort senden. Verweigern von LMClientgeräte verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller lehnen die LM-Authentifizierung ab, und sie akzeptieren nur die NTLM- und NTLMv2-Authentifizierung.4Nur NTLMv2-Antwort senden. Ablehnen von LM & NTLMClientgeräte verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller lehnen die LM- und NTLM-Authentifizierung ab, und sie akzeptieren nur die NTLMv2-Authentifizierung.5

4. Nexeed Automation Entscheidungsmatrix

NTLMv2 Entscheidungsmatrix.png — NTLMv2 Entscheidungsmatrix

Rechnereinstellungen #1

SchlüsselWert

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\EnableSecuritySignature

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel

Rechnereinstellungen #2

SchlüsselWert

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\EnableSecuritySignature

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel