https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=NTLMNTLM - Versionsgeschichte2026-05-28T11:09:15ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=NTLM&diff=373798&oldid=previmported>Scientificfries: Ergänzung von Links zu Fachbegriffen2025-06-17T08:08:25Z<p>Ergänzung von Links zu Fachbegriffen</p>
<p><b>Neue Seite</b></p><div>'''NTLM''' (kurz für ''[[Microsoft Windows NT|NT]] [[LAN Manager]]'') ist ein [[Authentifizierung]]sverfahren für [[Rechnernetz]]e. Es verwendet eine [[Challenge-Response-Authentifizierung]].<br />
<br />
Durch den Einsatz von NTLM über [[Hypertext Transfer Protocol|HTTP]] ist ein [[Single Sign-on]] auf [[Webserver]]n oder [[Proxyserver]]n unter Verwendung des [[Berechtigungsnachweis (Identifikationstechnik)|Berechtigungsnachweis]]es ''(Credentials)'' der [[Microsoft Windows|Windows]]-Benutzeranmeldung möglich.<br />
<br />
== Sicherheitsprobleme ==<br />
NTLM gilt als nicht mehr sicher<ref>{{cite web<br />
| url = https://www.heise.de/news/Jetzt-sicher-Microsoft-schmeisst-NTLM-endgueltig-aus-Windows-9749824.html<br />
| title = Jetzt sicher: Microsoft schmeißt NTLM endgültig aus Windows<br />
| publisher = Heise Online<br />
| accessdate = 2024-10-11<br />
}}</ref> und sollte möglichst nicht mehr verwendet werden. Microsoft setzt als Alternative die [[Kerberos (Protokoll)|<br />
Kerberos]]-Authentifizierung ein.<br />
<br />
== Historie ==<br />
NTLM war ursprünglich ein [[proprietär]]es Protokoll des Unternehmens [[Microsoft]] und daher fast ausschließlich in Produkten dieses Herstellers implementiert. Dank [[Reverse Engineering]] unterstützen jedoch beispielsweise auch [[Samba (Software)|Samba]], [[Squid]], [[Mozilla Firefox]], [[cURL]], [[Opera (Browser)|Opera]] und der [[Apache HTTP Server]] dieses Protokoll. Anfang 2007 hat Microsoft seine Spezifikation auf Druck der [[Vereinigte Staaten|Vereinigten Staaten]] und der [[Europäische Union|Europäischen Union]] veröffentlicht.<ref>{{cite web<br />
| url = https://msdn.microsoft.com/en-us/library/cc236621<br />
| title = NT LAN Manager (NTLM) Authentication Protocol Specification<br />
| publisher = Microsoft<br />
| accessdate = 2010-08-17<br />
}}</ref><br />
<br />
Der Vorgänger des NTLM-Protokolls ist [[LAN Manager|LM]] (LAN Manager), das schon im Betriebssystem [[OS/2]] zum Einsatz kam. NTLM behob das Problem, dass lange Passwörter angreifbarer als kurze Passwörter sein konnten.<ref>{{cite web<br />
| url = https://jeffpar.github.io/kbarchive/kb/147/Q147706/<br />
| title = How to disable LM authentication on Windows NT<br />
| publisher = Microsoft<br />
| accessdate = 2015-08-27<br />
}}</ref> Aufgrund weiterer Sicherheitsprobleme wurde NTLMv2 entwickelt und die frühere Version fortan NTLMv1 genannt. Auch in NTLMv2 sind Sicherheitsprobleme bekannt: Responses können abgefangen werden, um [[Replay-Angriff]]e auf den Server und Reflection-Angriffe auf den Client durchzuführen.<ref>{{cite web<br />
| url = http://heise.de/-1059244<br />
| title = Authentifizierung unter Windows: Ein schwelendes Sicherheitsproblem<br />
| publisher = [[Verlag Heinz Heise]]<br />
| date = 2010-08-16<br />
| accessdate = 2010-08-17<br />
}}</ref><br />
<br />
== Ablauf einer Authentifizierung ==<br />
Eine Authentifizierung über NTLM beginnt damit, dass der [[Client]] den Benutzernamen an den [[Server (Software)|Server]] sendet.<ref>{{cite web<br />
| url = https://msdn.microsoft.com/en-us/library/aa378749%28VS.85%29.aspx<br />
| title = Microsoft NTLM<br />
| publisher = Microsoft<br />
| accessdate = 2010-08-17<br />
}}</ref> Der Server sendet daraufhin als ''Challenge'' eine Zufallszahl an den Client. Der Client sendet als ''Response'' die mit dem [[Hashwert]] des Benutzerpassworts verschlüsselte Zufallszahl zurück. Der Server verschlüsselt ebenfalls die Zufallszahl mit dem Hashwert des Benutzerpassworts, das er in seiner [[Datenbank]] oder vom [[Domain Controller]] hat, vergleicht die beiden Ergebnisse und bestätigt bei Übereinstimmung die Authentifizierung. Das Benutzerpasswort wird also nicht über das unsichere Medium gesendet.<br />
<br />
Eine Alternative zu NTLM ist das Protokoll [[Kerberos (Protokoll)|Kerberos]], das auch unter Windows seit der Einführung des [[Active Directory]] mit [[Microsoft Windows 2000|Windows 2000]] standardmäßig zum Einsatz kommt.<ref>{{cite web<br />
| url = http://www.windowsnetworking.com/kbase/WindowsTips/Windows2000/AdminTips/Security/KerberosandWindows2000.html<br />
| title = Kerberos and Windows 2000<br />
| publisher = TechGenix<br />
| accessdate = 2010-08-17<br />
}}</ref> Wenn eine Authentifizierung mittels Kerberos nicht möglich ist, wird aber automatisch NTLM verwendet.<ref>{{cite web<br />
| url = http://blogs.technet.com/b/deds/archive/2010/04/12/kerberos-im-local-system-kontext-und-ntlm-fallback.aspx<br />
| title = Kerberos im LOCAL SYSTEM Kontext und NTLM Fallback<br />
| publisher = Microsoft<br />
| date = 2010-04-12<br />
| accessdate = 2010-08-17<br />
}}</ref> Den [[Port (Protokoll)|Port]] für NTLM wählt Windows in der Grundeinstellung dynamisch.<ref>{{cite web<br />
| url = http://technet.microsoft.com/en-us/library/cc780332%28WS.10%29.aspx<br />
| title = How Interactive Logon Works<br />
| publisher = Microsoft<br />
| accessdate = 2010-08-17<br />
}}</ref><br />
<br />
''Secure Password Authentication'', kurz SPA, nennt Microsoft die Authentifizierung über NTLM für [[Microsoft Exchange Server]].<br />
<br />
== LmCompatibilityLevel ==<br />
Mit den LmCompatibilityLevel kann konfiguriert werden, welche Authentifizierungs-Mechanismen der Client verwenden soll. Hier wird zwischen LM-, NTLM- und NTLMv2-Authentifizierungen unterschieden.<br />
<br />
* '''0 =''' Clients nutzen die LM- und NTLM-Authentifizierung<br />
* '''1 =''' Clients nutzen die LM- und NTLM-Authentifizierung sowie die NTLMv2-Authentifizierung<br />
* '''2 =''' Clients nutzen nur die NTLM- und NTLMv2-Authentifizierung<br />
* '''3 =''' Clients nutzen nur die NTLMv2-Authentifizierung. Domänencontroller akzeptieren LM-, NTLM- und NTLMv2-Authentifizierung<br />
* '''4 =''' Clients nutzen nur die NTLMv2-Authentifizierung. Domänencontroller lehnen LM-Authentifizierung ab und akzeptieren nur NTLM- und NTLMv2-Authentifizierung<br />
* '''5 =''' Clients nutzen nur die NTLMv2-Authentifizierung. Domänencontroller lehnen LM- und NTLM-Authentifizierung ab und akzeptieren nur NTLMv2-Authentifizierung<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
== Weblinks ==<br />
* [https://zenuml.atlassian.net/wiki/spaces/Doc/pages/1282342917/NTLM+Authentication+Scheme+for+HTTP NTLM Authentication Scheme for HTTP] (englisch)<br />
* [http://davenport.sourceforge.net/ntlm.html The NTLM Authentication Protocol and Security Support Provider] (englisch)<br />
*[https://www.itnator.net/ntlmv2-aktivieren-lan-manager-authentifizierung/ LmCompatibilityLevel in NTLM]<br />
<br />
{{SORTIERUNG:Ntlm}}<br />
[[Kategorie:Netzwerkprotokoll auf Anwendungsschicht]]<br />
[[Kategorie:Microsoft Windows]]<br />
[[Kategorie:Authentifizierungsprotokoll]]<br />
[[Kategorie:Abkürzung]]</div>imported>Scientificfries