Developer Portal Community

    cancel
    Showing results for 
    Search instead for 
    Did you mean: 

    NTLMv1 switch off on Domain Controllers

    English đź ¦ Deutsch

    1. Why do I need to change the NTLM version?

    In the bosch.com forest we still see clients talking NTLMv1, which is old and has a really low security level. It can be decrypted by hackers within a few hours on a normal desktop PC and there are several cracking tools available.

     

    2. Planned dates for switch off

    Dates can be requested vie Nexeed Helpdesk

     

    3. What do I need to change?

    Short answer:

    you need to change the LM-Level to the highest possible value that is compatible with your usecase, but at least level 3.

     

    Long answer:

    The LM-Level defines what NTLM versions are accepted as request and response.
    The lowest security level is 0, using LM & NTLMv1 request and response as default. The highest level is 5, refusing LM and NTLMv1. You can find all levels in the table below. However level 5 is, of course, preferred but at least level 3 is required (→ The red marked settings should not be used!).

     

    Setting Description Registry security level
    Send LM & NTLM responses Client devices use LM and NTLM authentication, and they never use NTLMv2 session security. Domain controllers accept LM, NTLM, and NTLMv2 authentication. 0
    Send LM & NTLM –
    use NTLMv2 session security if negotiated
    Client devices use LM and NTLM authentication, and they use NTLMv2 session security if the server supports it. Domain controllers accept LM, NTLM, and NTLMv2 authentication. 1
    Send NTLM response only Client devices use NTLMv1 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers accept LM, NTLM, and NTLMv2 authentication. 2
    Send NTLMv2 response only Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers accept LM, NTLM, and NTLMv2 authentication. 3
    Send NTLMv2 response only. Refuse LM Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers refuse to accept LM authentication, and they will accept only NTLM and NTLMv2 authentication. 4
    Send NTLMv2 response only. Refuse LM & NTLM Client devices use NTLMv2 authentication, and they use NTLMv2 session security if the server supports it. Domain controllers refuse to accept LM and NTLM authentication, and they will accept only NTLMv2 authentication. 5

     

    4. Nexeed Automation decision matrix

    NTLMv2 decision matrixNTLMv2 decision matrix

     

    Client settings #1

    Key Value

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature

    1

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\EnableSecuritySignature

    1

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel

    3

     

    Client settings #2

    Key Value

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature

    0

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\EnableSecuritySignature

    1

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel

    1

     

    Deutsch đź ¦ English

     

    1. Warum muss ich die NTLM-Version ändern?

    Im bosch.com Umfeld sehen wir immer noch Rechner, die NTLMv1 verwenden, welches alt ist und einen wirklich niedrigen Sicherheitsstandard hat. Es kann von Hackern innerhalb weniger Stunden auf einem normalen Desktop-PC entschlĂĽsselt werden. HierfĂĽr gibt es mehrere Cracking-Tools.

     

    2. Geplante Termine fĂĽr die Abschaltung

    Termine können über den Nexeed Helpdesk angefordert werden

     

    3. Was muss ich ändern?

    kurze Antwort:

    Sie müssen den LM-Level auf den höchstmöglichen Wert ändern, der mit Ihrem Anwendungsfall kompatibel ist. Mindestens aber auf Level 3.

     

    AusfĂĽhrliche Antwort:

    Das LM-Level definiert, welche NTLM-Versionen als Anfrage und Antwort akzeptiert werden. Die niedrigste Sicherheitsstufe ist 0, standardmäßig mit Senden von LM & NTLM-Antworten. Die höchste Stufe ist 5, Ablehnen von LM & NTLM. Sie können alle Level unten in der Tabelle finden. Natürlich ist Level 5 bevorzugt, aber mindestens Level 3 ist erforderlich ( Die rot markierten Einstellungen sollten nicht verwendet werden!).

     

    Einstellung Beschreibung Registrierungs-sicherheitsstufe
    Senden von LM & NTLM-Antworten Clientgeräte verwenden die LM- und NTLM-Authentifizierung und niemals die NTLMv2-Sitzungssicherheit. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. 0
    LM & NTLM senden – NTLMv2-Sitzungssicherheit verwenden, wenn ausgehandelt Clientgeräte verwenden die LM- und NTLM-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. 1
    Nur NTLM-Antwort senden Clientgeräte verwenden die NTLMv1-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. 2
    Nur NTLMv2-Antwort senden Clientgeräte verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller akzeptieren die LM-, NTLM- und NTLMv2-Authentifizierung. 3
    Nur NTLMv2-Antwort senden. Verweigern von LM Clientgeräte verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller lehnen die LM-Authentifizierung ab, und sie akzeptieren nur die NTLM- und NTLMv2-Authentifizierung. 4
    Nur NTLMv2-Antwort senden. Ablehnen von LM & NTLM Clientgeräte verwenden die NTLMv2-Authentifizierung, und sie verwenden die NTLMv2-Sitzungssicherheit, wenn der Server sie unterstützt. Domänencontroller lehnen die LM- und NTLM-Authentifizierung ab, und sie akzeptieren nur die NTLMv2-Authentifizierung. 5

     

    4. Nexeed Automation Entscheidungsmatrix

    NTLMv2 EntscheidungsmatrixNTLMv2 Entscheidungsmatrix

     

    Rechnereinstellungen #1

    SchlĂĽssel Wert

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature

    1

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\EnableSecuritySignature

    1

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel

    3

     

    Rechnereinstellungen #2

    SchlĂĽssel Wert

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature

    0

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\EnableSecuritySignature

    1

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\lmcompatibilitylevel

    1
    Version history
    Last update:
    ‎09-17-2021 01:18 PM
    Updated by:
    Contributors
    Icon--AD-black-48x48Icon--address-consumer-data-black-48x48Icon--appointment-black-48x48Icon--back-left-black-48x48Icon--calendar-black-48x48Icon--center-alignedIcon--Checkbox-checkIcon--clock-black-48x48Icon--close-black-48x48Icon--compare-black-48x48Icon--confirmation-black-48x48Icon--dealer-details-black-48x48Icon--delete-black-48x48Icon--delivery-black-48x48Icon--down-black-48x48Icon--download-black-48x48Ic-OverlayAlertIcon--externallink-black-48x48Icon-Filledforward-right_adjustedIcon--grid-view-black-48x48IC_gd_Check-Circle170821_Icons_Community170823_Bosch_Icons170823_Bosch_Icons170821_Icons_CommunityIC-logout170821_Icons_Community170825_Bosch_Icons170821_Icons_CommunityIC-shopping-cart2170821_Icons_CommunityIC-upIC_UserIcon--imageIcon--info-i-black-48x48Icon--left-alignedIcon--Less-minimize-black-48x48Icon-FilledIcon--List-Check-grennIcon--List-Check-blackIcon--List-Cross-blackIcon--list-view-mobile-black-48x48Icon--list-view-black-48x48Icon--More-Maximize-black-48x48Icon--my-product-black-48x48Icon--newsletter-black-48x48Icon--payment-black-48x48Icon--print-black-48x48Icon--promotion-black-48x48Icon--registration-black-48x48Icon--Reset-black-48x48Icon--right-alignedshare-circle1Icon--share-black-48x48Icon--shopping-bag-black-48x48Icon-shopping-cartIcon--start-play-black-48x48Icon--store-locator-black-48x48Ic-OverlayAlertIcon--summary-black-48x48tumblrIcon-FilledvineIc-OverlayAlertwhishlist