NTLM (steht für "NT LAN Manager") ist ein von Microsoft entwickeltes (veraltetes) Authentifizierungsverfahren (Benutzername und Kennwort). Der Vorgänger vom NTLM war LM (LAN Manager). Das SMB-Netzwerkprotokoll (Server Message Block) für die Datei- und Druckerfreigabe kann zur Authentifizierung das LM- oder NTLM-Verfahren verwenden. Ab Windows 2000 steht das wesentlich sichere Kerberos-Verfahren für die Authentifizierung zur Verfügung und wird bevorzugt angewendet. Aus Kompatibilitätsgründen zu älteren Systemen und Diensten wurde LM- und NTLM bisher noch unterstützt. Seit November 2024 gilt das Verfahren bei Microsoft offiziell als veraltet und wird nicht mehr weiter entwickelt.

Auf dem SMB-Client (Zugriff auf eine bereitgestellte Freigabe) lassen sich die alten (und unsicheren) Authentifizierungsverfahren (LM, NTLM, NTLMv2) deaktivieren. Der SMB-Server muss allerdings dann Kerberos oder ein anderes Authentifizierungsverfahren für den Zugriff unterstützen.

So geht's:

• Starten Sie "%windir%\regedit.exe" bzw. "%windir%\regedt32.exe".
• Klicken Sie sich durch folgende Schlüssel (Ordner) hindurch:
  HKEY_LOCAL_MACHINE
  Software
  Policies
  Microsoft
  Windows
  LanmanWorkstation
  Falls die letzten Schlüssel noch nicht existieren, dann müssen Sie diese erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "Schlüssel".
• Doppelklicken Sie auf den Schlüssel "BlockNTLM".
  Falls dieser Schlüssel noch nicht existiert, dann müssen Sie ihn erstellen. Dazu klicken Sie mit der rechten Maustaste in das rechte Fenster. Im Kontextmenü wählen Sie "Neu" > "DWORD-Wert" (REG_DWORD). Als Schlüsselnamen geben Sie "BlockNTLM" ein.
• Ändern Sie den Wert ggf. von "0" (zulassen) auf "1" (deaktiviert).
• Die Änderungen werden ggf. erst nach einem Neustart aktiv.

Hinweise:

• BlockNTLM:
  0 = Die Authentifizierungsverfahren LM, NTLM und NTLMv2 stehen für SMB auf dem Client bereit. (Standard)
  1 = Die Authentifizierungsverfahren LM, NTLM und NTLMv2 sind für SMB auf dem Client deaktiviert.
• Ändern Sie bitte nichts anderes in der Registrierungsdatei. Dies kann zur Folge haben, dass Windows und/oder Anwendungsprogramme nicht mehr richtig arbeiten.

Querverweis:

• Netzwerkfreigaben - LAN Manager-Authentifizierungsebene festlegen / ändern