Was ist NTLM? Windows NTLM-Sicherheitsrisiken & Migrationsleitfaden

Was ist NTLM?

NTLM (NT LAN Manager) ist ein Windows-Authentifizierungsprotokoll, das Benutzer durch Challenge-Response-Authentifizierung validiert, ohne Passwörter über Netzwerke zu übertragen. Laut offizieller Microsoft-Dokumentation umfasst NTLM mehrere Protokollversionen, darunter den Legacy LAN Manager, NTLMv1 und den aktuellen NTLMv2-Standard. Obwohl Kerberos NTLM bereits vor über zwanzig Jahren als bevorzugte Authentifizierungsmethode für Active Directory-Umgebungen abgelöst hat, bleibt NTLM in Unternehmensnetzwerken weiterhin aktiv für Workgroup-Authentifizierung, lokale Anmeldungen auf Nicht-Domänencontrollern und Szenarien, in denen die Kerberos-Aushandlung fehlschlägt.

Der Challenge-Response-Prozess funktioniert über einen einfachen Austausch. Wenn Sie sich mit einer Netzwerkressource verbinden, sendet der Server Ihrem Client eine 16-Byte-Challenge. Ihr System verschlüsselt diese Challenge mit Ihrem Passwort-Hash und sendet die Antwort zurück an den Server, der diese Anmeldedaten mit der Security Accounts Manager-Datenbank oder Active Directory validiert. Die Authentifizierung wird abgeschlossen, wobei nur verschlüsselte Hashes übertragen werden, niemals Ihr tatsächliches Passwort. Diese Designentscheidung, Hashes als Identitätsnachweis zu behandeln, schuf die Sicherheitslücken, die Angreifer heute ausnutzen.

Warum NTLM ein Sicherheitsrisiko ist

Credential Theft-Statistiken zeigen, dass 31 % aller Sicherheitsverletzungen im letzten Jahrzehnt Credential Theft beinhalteten, laut dem Verizon 2025 Data Breach Investigations Report. NTLM-Angriffe stellen einen bedeutenden Teil dieser anhaltenden Bedrohungslandschaft dar, da das Protokoll Passwort-Hashes speichert, die Angreifer stehlen und wiederverwenden können, ohne das tatsächliche Passwort knacken zu müssen.

Angreifer extrahieren NTLM-Hashes aus dem Speicher oder Netzwerkverkehr und authentifizieren sich dann an Dateiservern und Domänencontrollern, indem sie gestohlene Hashes direkt an Windows übergeben. Ihre Sicherheitskontrollen sehen legitime NTLM-Authentifizierung, während der Angriff unsichtbar abläuft.

CISA fügte CVE-2025-24054, eine Windows NTLM Hash Disclosure-Schwachstelle, im März 2025 nach bestätigter aktiver Ausnutzung ihrem Known Exploited Vulnerabilities-Katalog hinzu. Obwohl Microsoft die Schwachstelle im März 2025 gepatcht hat, bleibt die Angriffsfläche bestehen, da die Abschaffung von NTLM eine koordinierte Migration über Identitätsinfrastruktur, Anwendungen und Netzwerkdienste hinweg erfordert. Dieser Zeitrahmen ist besonders wichtig angesichts der Microsoft-Frist im Oktober 2026 für die automatische Durchsetzung von NTLMv1.

Wie NTLM-Authentifizierung funktioniert

Die Architektur von NTLM zeigt, warum Angreifer in Ihrer Umgebung erfolgreich sind und warum die Migration erhebliche Komplexität mit sich bringt.

• Authentifizierungspaket und Hash-Speicherung: Das MSV1_0-Authentifizierungspaket verarbeitet alle NTLM-Authentifizierungen über die Msv1_0.dll-Komponente. Kompromittieren Angreifer den LSASS-Speicher, extrahieren sie Passwort-Hashes direkt. Ihre Umgebung speichert zwei Hash-Typen: Der LM-Hash verwendet unsichere DES-Verschlüsselung ohne Groß-/Kleinschreibung, was triviale Rainbow-Table-Angriffe ermöglicht, während der NT-Hash MD4 mit Groß-/Kleinschreibung nutzt. Beide befinden sich im SAM oder Active Directory und dienen selbst als Authentifizierungsnachweis: Kein Passwortknacken erforderlich.
• Challenge-Response-Mechanismus: Der Server generiert eine 16-Byte-Zufalls-Challenge, Ihre Workstation verschlüsselt sie mit Ihrem Passwort-Hash, und der Server validiert die Antwort über die LsaLogonUser-API. NTLMv2 verwendet eine HMAC-MD5-basierte Antwortberechnung mit zusätzlicher Zufallsdaten, was stärkeren kryptografischen Schutz bietet. Beide Protokolle teilen eine grundlegende Schwachstelle: Passwort-Hashes dienen selbst als Authentifizierungsnachweis (MITRE ATT&CK T1550.002).
• LAN Manager-Authentifizierungsstufen: Der Registrierungsschlüssel HKLM\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel bestimmt, welche NTLM-Versionen Ihre Systeme akzeptieren. Die meisten Unternehmen betreiben Level 3 (Nur NTLMv2-Antwort senden) statt des von NIST empfohlenen Level 5 (LM und NTLM vollständig ablehnen), was ausnutzbare Lücken schafft.

Diese Architekturkomponenten, insbesondere die Hash-Speicherung im LSASS-Speicher und der Pass-Through-Authentifizierungsmechanismus, bieten Angreifern mehrere Möglichkeiten, Anmeldedaten abzufangen oder zu extrahieren.

NTLM-Angriffswerkzeuge und -Techniken

Angreifer nutzen spezialisierte Werkzeuge, um NTLM-Schwachstellen für Credential Theft und laterale Bewegung auszunutzen. Das Verständnis dieser Werkzeuge hilft Verteidigern, Angriffsmuster zu erkennen und geeignete Kontrollen zu implementieren.

• Credential Extraction Tools zielen auf den LSASS-Speicher ab, in dem Windows Passwort-Hashes während aktiver Sitzungen speichert. Mimikatz bleibt das bekannteste Tool und nutzt Techniken wie sekurlsa::logonpasswords, um Anmeldedaten aus dem Speicher zu extrahieren. Angreifer verwenden auch Windows-eigene Methoden wie reg save-Befehle, um SAM- und SYSTEM-Registry-Hives für die Offline-Hash-Extraktion zu exportieren. Memory-Forensik-Tools wie WCE (Windows Credentials Editor) bieten zusätzliche Extraktionsmöglichkeiten, die einige Endpoint-Detection-Lösungen umgehen.
• Pass-the-Hash-Frameworks ermöglichen die Authentifizierung mit gestohlenen Hashes, ohne dass das Passwort geknackt werden muss. Das Python-basierte Toolkit von Impacket enthält die Module psexec.py und wmiexec.py, die NTLM-Hashes direkt für die Remote-Befehlsausführung auf Windows-Systemen akzeptieren. CrackMapExec automatisiert Pass-the-Hash-Angriffe auf mehrere Ziele gleichzeitig und ermöglicht schnelle laterale Bewegung durch Unternehmensnetzwerke, während erfolgreiche Authentifizierungen für weitere Ausnutzung protokolliert werden. Diese Frameworks integrieren Hash-Spraying-Funktionen, um Systeme zu identifizieren, die kompromittierte Anmeldedaten akzeptieren.
• NTLM-Relay-Toolkits fangen Authentifizierungsanfragen ab und leiten sie an unbefugte Zielsysteme weiter. Responder fängt NTLM-Authentifizierung ab, indem es LLMNR-, NBT-NS- und MDNS-Namensauflösungsantworten auf lokalen Netzwerksegmenten vergiftet. Wenn Systeme versuchen, Hostnamen aufzulösen, antwortet Responder mit angreiferkontrollierten IP-Adressen und fängt Authentifizierungsversuche ab. Das ntlmrelayx-Modul von Impacket leitet abgefangene Authentifizierung an SMB-, LDAP-, HTTP- und MSSQL-Dienste weiter und ermöglicht Privilegieneskalation, wenn Extended Protection for Authentication auf kritischen Diensten deaktiviert bleibt.
• Coercion-Techniken zwingen Zielsysteme, ohne Benutzerinteraktion Authentifizierung zu angreiferkontrollierten Servern zu initiieren. PetitPotam nutzt die MS-EFSRPC-Schnittstelle, um Domänencontroller zur Authentifizierung an beliebige Ziele zu zwingen, was direkte Credential Capture- oder Relay-Angriffe gegen Active Directory Certificate Services ermöglicht. PrinterBug (auch SpoolSample genannt) missbraucht die Remote-Schnittstelle des Print Spooler-Dienstes für ähnliche erzwungene Authentifizierung. Diese Techniken umgehen klassische Phishing-Anforderungen vollständig und ermöglichen Credential Theft von Systemen, die nie mit bösartigen Inhalten interagieren.

Defensive Detection konzentriert sich auf die Überwachung von Tool-Signaturen im Speicher, abnormale LSASS-Zugriffsmuster, unerwartete Authentifizierungsflüsse und Netzwerkverkehr, der auf Relay-Versuche hindeutet. Die Erkennung allein kann jedoch die zugrunde liegenden Protokollschwächen, die diese Angriffe ermöglichen, nicht beheben.

NTLM-Schwachstellen

Die architektonischen Schwächen des Protokolls schaffen anhaltende Sicherheitslücken, die Verteidigungsmaßnahmen allein ohne ergänzende netzwerk- und identitätsbasierte Schutzmechanismen nicht vollständig adressieren können.

• Pass-the-Hash-Angriffe (MITRE ATT&CK T1550.002) nutzen die Abhängigkeit von NTLM von Passwort-Hashes als Authentifizierungsnachweis aus. Sobald Angreifer Ihren Hash aus dem LSASS-Speicher, der SAM-Datenbank oder Netzwerk-Mitschnitten extrahieren, authentifizieren sie sich als Sie, ohne Ihr Passwort zu kennen. Credential Guard bietet teilweisen Schutz durch Virtualisierungs-basierte Sicherheit auf Windows 10 Enterprise oder Windows 11-Systemen mit TPM 2.0-Hardware. Netzwerkbasierte Schutzmechanismen wie SMB-Signierung, LDAP-Signierung und Extended Protection for Authentication stoppen NTLM-Relay-Angriffe.
• NTLM-Relay-Angriffe manipulieren den Challenge-Response-Mechanismus, indem sie die Authentifizierung zwischen Client und Server abfangen. Der Angreifer erhält Ihren Authentifizierungsversuch, leitet ihn an ein Zielsystem seiner Wahl weiter und erhält in Echtzeit unbefugten Zugriff mit Ihren Anmeldedaten. Extended Protection for Authentication stoppt Relay-Angriffe durch Channel Binding, erfordert jedoch eine explizite Konfiguration auf Exchange Server, Active Directory Certificate Services und LDAP. Die meisten Unternehmen betreiben diese kritischen Dienste ohne aktiviertes EPA, da Microsoft Produkte historisch standardmäßig ohne EPA ausgeliefert hat.
• Kryptografische Schwächen in Legacy-Versionen bestehen weiterhin in Produktionsumgebungen. LM-Hashes verwenden DES-Verschlüsselung, einen kryptografisch gebrochenen Algorithmus, wandeln Passwörter in Großbuchstaben um und teilen sie in 7-Zeichen-Blöcke auf. NTLMv1 verbessert die kryptografische Stärke, bleibt aber anfällig für Offline-Brute-Force-Angriffe. Nur NTLMv2 bietet moderne kryptografische Schutzmechanismen, dennoch betreiben viele Organisationen gemischte Umgebungen, die NTLMv1 aus Kompatibilitätsgründen akzeptieren.

Die Durchsetzungsfrist im Oktober 2026 schafft ein betriebliches Risiko für Organisationen, die die Migration verzögert haben. Microsoft hat einen dreiphasigen Zeitplan festgelegt:

1. Phase 1 (Dezember 2024): Einleitung der Abschaffung
2. Phase 2 (September 2025): Aktivierung des Audit-Modus als Standard
3. Phase 3 (Oktober 2026): Automatische Umstellung des BlockNtlmv1SSO-Registry-Schlüssels auf den Durchsetzungsmodus ohne Administratorintervention

Organisationen, die noch nicht mit der Migrationsplanung begonnen haben, laufen erhebliche Gefahr von Authentifizierungsstörungen, wenn die Durchsetzung beginnt.

Wie man von NTLM migriert

Die Migration von NTLM in Unternehmen erfordert eine strukturierte, phasenweise Umsetzung mit Unterstützung der Geschäftsleitung. Die vollständige Implementierung dauert in der Regel 18-22 Monate, abhängig von der Komplexität der Umgebung und Abhängigkeiten von Legacy-Anwendungen.

Phase 1: Discovery und Audit (Monate 1-3)

Aktivieren Sie vollständiges NTLM-Auditing auf allen Domänencontrollern und Mitgliedsservern, bevor Sie Migrations- oder Blockierungsrichtlinien anwenden. Konfigurieren Sie Network security: Restrict NTLM: Audit NTLM authentication in this domain auf "Audit all" statt auf Blockieren. Windows 11 24H2 und Windows Server 2025 bieten erweiterte Audit-Events, die Prozessnamen, Reason Codes, Benutzernamen und Domäneninformationen sowie die NTLM-Version erfassen. Sammeln Sie Audit-Logs mindestens 30-90 Tage, um periodische Dienste, geplante Aufgaben und monatliche Prozesse zu erfassen. Analysieren Sie die Logs, um ein vollständiges Abhängigkeitsinventar nach Systemtyp, Anwendung und Sanierungskomplexität zu erstellen.

Phase 2: Remediation-Planung (Monate 4-6)

Kategorisieren Sie NTLM-Abhängigkeiten nach Sanierungsansatz und Komplexität. Workgroup-verbundene Systeme erfordern möglicherweise eine Domänenaufnahme, Azure AD-Registrierung oder weiterhin eine Ausnahme mit Netzwerksegmentierung. Legacy-Anwendungen benötigen die Einbindung des Herstellers für Kerberos-Support-Zeitpläne oder Ersatzplanung, falls keine Migrationspfade angeboten werden. Netzwerkgeräte mit Firmware-Einschränkungen erfordern Upgrade-Planung, Ersatzbeschaffung oder Netzwerksegmentierungsstrategien zur Isolierung von NTLM-Verkehr.

Phase 3: Pilot-Kerberos-Bereitstellungen (Monate 7-9)

Wählen Sie organisatorische Einheiten mit geringem Risiko und minimalen Legacy-Abhängigkeiten für die erste Kerberos-only-Durchsetzung aus. Konfigurieren Sie Network security: Restrict NTLM: NTLM authentication in this domain auf "Deny all" nur im Pilotbereich. Überwachen Sie Authentifizierungsfehler und Anwendungsprobleme genau und dokumentieren Sie alle Sanierungsverfahren als Referenz für den Produktiv-Rollout. Validieren Sie, dass Pilot-Systeme ohne NTLM-Authentifizierung vollständig funktionsfähig bleiben.

Phase 4: Produktiv-Rollout (Monate 10-18)

Weiten Sie die Kerberos-Durchsetzung systematisch nach organisatorischer Einheit basierend auf den Pilot-Erfahrungen aus. Priorisieren Sie Hochsicherheitsumgebungen mit sensiblen Daten und privilegierten Zugriffssystemen. Führen Sie dokumentierte Ausnahmelisten für Legacy-Abhängigkeiten mit kompensierenden Kontrollen wie Netzwerksegmentierung, erweitertem Monitoring und eingeschränktem Zugriffsumfang. Implementieren Sie Netzwerksegmentierung für Systeme, die weiterhin NTLM-Zugriff benötigen, um die Angriffsfläche für laterale Bewegung zu begrenzen.

Phase 5: Durchsetzung (Monate 19-22)

Aktivieren Sie BlockNtlmv1SSO vor der automatischen Durchsetzungsfrist von Microsoft im Oktober 2026. Validieren Sie die vollständige Migration durch gründliche Überprüfung der Audit-Logs, die bestätigen, dass keine NTLM-Authentifizierung mehr im Produktivbereich erfolgt. Dokumentieren Sie verbleibende Ausnahmen mit formaler Risikoakzeptanz und kompensierenden Kontrollen für Compliance- und Audit-Zwecke.

Während der Migrationsplanung müssen Organisationen auch unmittelbare Verteidigungslücken adressieren. Viele Sicherheitsteams lassen ihre Umgebungen versehentlich durch unvollständige oder falsch konfigurierte Schutzmaßnahmen exponiert.

Häufige Fehler bei der NTLM-Verteidigung

Das Versäumnis, mehrschichtige NTLM-Schutzmaßnahmen zu implementieren, schafft ausnutzbare Sicherheitslücken.

1. SMB-Signierung aktivieren, ohne sie zu erzwingen. Sie konfigurieren die Gruppenrichtlinie, um die Einstellung "Microsoft network server: Digitally sign communications" auf Ihren Dateiservern zu aktivieren, übersehen jedoch die ergänzende Client-Anforderung. Das Konfigurationsaudit zeigt Konformität auf den Servern, dennoch demonstriert Ihr Penetrationstester erfolgreiche NTLM-Relay-Angriffe, da "aktivieren" ein Downgrade auf unsignierte Verbindungen erlaubt, wenn Clients keine Signierung anfordern. Beide Konfigurationen müssen gleichzeitig auf "Enabled" gesetzt werden: Serverseitig (Microsoft network server: Digitally sign communications (always)) UND clientseitig (Microsoft network client: Digitally sign communications (always)). Laut Microsoft SMB Security Guidance schafft die Konfiguration nur auf Servern eine ausnutzbare Lücke, über die Angreifer durch falsch konfigurierte Clients relayn können.
2. Annahme, Credential Guard stoppe NTLM-Relay-Angriffe. Sie implementieren Credential Guard auf hochprivilegierten Administrator-Workstations und Domänencontrollern und präsentieren Credential Guard-Abdeckung der Geschäftsleitung als vollständigen NTLM-Angriffsschutz. Ein Angreifer kompromittiert Ihre Umgebung durch NTLM-Relay gegen einen ungeschützten LDAP-Dienst auf einem Domänencontroller. Credential Guard schützt Anmeldedaten im LSASS-Speicher durch Virtualisierungs-basierte Sicherheit und verhindert Credential Theft von kompromittierten Systemen, bietet jedoch keinen Schutz gegen netzwerkbasierte NTLM-Relay-Angriffe. Organisationen müssen sowohl Endpunkt-Credential-Schutz als auch netzwerkbasierte Relay-Prävention gleichzeitig implementieren.
3. EPA inkonsistent auf kritischen Diensten implementieren. Ihr Sicherheitsteam hat Extended Protection for Authentication auf Active Directory Certificate Services nach PetitPotam 2021 aktiviert, dennoch relayn Angreifer NTLM-Authentifizierung an Ihren LDAP-Dienst, der ohne EPA läuft. EPA muss auf allen NTLM-fähigen Diensten konfiguriert werden, einschließlich AD CS, LDAP, Exchange Server und allen benutzerdefinierten Anwendungen, die Windows Integrated Authentication verwenden.

Diese Fehler zu vermeiden, erfordert einen systematischen Ansatz zur NTLM-Verteidigung, der alle Angriffsvektoren gleichzeitig adressiert.

Best Practices für die NTLM-Verteidigung

Stoppen Sie credential-basierte laterale Bewegung durch mehrschichtige Kontrollen, die Protokollschwächen auf Netzwerk-, Endpunkt- und Identitätsebene adressieren.

• Implementieren Sie sofort vollständiges NTLM-Audit-Logging. Aktivieren Sie NTLM-Audit-Richtlinien auf allen Domänencontrollern und Mitgliedsservern, bevor Sie Migrations- oder Blockierungsrichtlinien anwenden. Konfigurieren Sie Network security: Restrict NTLM: Audit NTLM authentication in this domain auf "Audit all" statt auf Blockieren. Sammeln Sie Audit-Logs mindestens 30-90 Tage, um periodische Dienste und geplante Aufgaben zu erfassen, und analysieren Sie die Logs, um ein vollständiges Abhängigkeitsinventar zu erstellen.
• Erzwingen Sie SMB-Signierung universell in Ihrer Umgebung. Konfigurieren Sie doppelte Gruppenrichtlinienanforderungen unter Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options. Setzen Sie sowohl Microsoft network server: Digitally sign communications (always) als auch Microsoft network client: Digitally sign communications (always) auf Enabled. Die doppelte Konfiguration verhindert Downgrade-Angriffe, bei denen Clients und Server unterschiedliche Signierungseinstellungen verwenden.
• Konfigurieren Sie Extended Protection for Authentication auf allen kritischen Diensten. EPA fügt NTLM-Authentifizierung Channel Binding hinzu und verhindert Credential Relay, indem die Authentifizierung an die TLS-Sitzung gebunden wird. Die Implementierungspriorität von EPA sollte auf Active Directory Certificate Services, LDAP auf allen Domänencontrollern und Exchange Server liegen. Windows Server 2025 aktiviert EPA standardmäßig für diese Dienste.
• Implementieren Sie Credential Guard auf hochprivilegierten Systemen. Setzen Sie Credential Guard auf Domänencontrollern, Administrator-Workstations und Systemen mit sensiblen Daten ein. Credential Guard erfordert TPM 2.0, UEFI Secure Boot, Prozessor-Virtualisierungserweiterungen und Hyper-V-Unterstützung.
• Erzwingen Sie LDAP-Signierung auf allen Domänencontrollern. Konfigurieren Sie Domain controller: LDAP server signing requirements auf "Require signing" über Gruppenrichtlinie, die auf die Organisationseinheit Domänencontroller angewendet wird. Windows Server 2025 fügt standardmäßig LDAP Channel Binding hinzu.
• Implementieren Sie Ereigniskorrelation zur Pass-the-Hash-Erkennung. Konfigurieren Sie Ihr SIEM, um Windows Security Event-IDs über mehrere Domänencontroller und Mitgliedsserver zu korrelieren. Alarmieren Sie bei Event ID 4624 (erfolgreiche Anmeldung) mit Logon Type 3 (Netzwerkanmeldung) und Authentifizierungspaket "NTLM" für privilegierte Konten OHNE entsprechende Event ID 4624 Logon Type 2 (interaktive Anmeldung) innerhalb der letzten 10 Stunden von derselben Quell-IP.

Diese manuellen Kontrollen bieten essenziellen Schutz, aber credential-basierte Angriffe bewegen sich oft schneller als menschliche Untersuchungszyklen. Behavioral AI kann Pass-the-Hash-Aktivitäten in Echtzeit erkennen und stoppen.

NTLM-Angriffe mit SentinelOne stoppen

Ihre Reaktionsgeschwindigkeit entscheidet, ob Sie laterale Bewegung stoppen oder den Vorfall im Nachhinein untersuchen. SentinelOne erkennt credential-basierte Angriffe durch Behavioral AI, die Pass-the-Hash-Techniken gemäß MITRE ATT&CK T1550.002 identifiziert.

Singularity™ Identity bietet zudem End-to-End-Transparenz in hybriden Umgebungen, um Schwachstellen zu erkennen und Credential Abuse zu stoppen. Es reduziert Identitätsrisiken und bietet Echtzeit-Identitätsschutz. Sie können Endpunkt- und Identitätsaktivitäten für kontextbasierte Erkennung und schnellere Triage korrelieren. Es beseitigt auch Blind Spots in isolierten Umgebungen und kann Active Directory und Cloud-Identitätsanbieter wie Okta, Ping, SecureAuth, Duo und Entra ID härten. Es kann Erkenntnisse aus versuchten Angriffen sammeln, um wiederholte Kompromittierungen zu stoppen und Privilegieneskalation zu verhindern.

SentinelOne wird seit fünf Jahren in Folge als Gartner Magic Quadrant Leader für Endpoint Protection Platforms anerkannt. In MITRE ATT&CK-Evaluierungen generierte SentinelOne nur 12 Alerts, während ein führender Mitbewerber 178.000 Alerts erzeugte, was 88 % weniger Alerts entspricht. Diese Reduktion des Alarmrauschens konsolidiert Tausende von Sicherheitsereignissen zu einzelnen, umsetzbaren Vorfällen und verwandelt die Untersuchung von Credential Abuse von der Überprüfung Tausender Authentifizierungsereignisse in die Analyse des vollständigen forensischen Kontexts in Sekunden.

Die Singularity Platform liefert einheitliche XDR-Funktionen über einen einzigen Agenten und eine Konsole und konsolidiert Endpunkt-, Cloud- und Identitätssicherheit in einem Data Lake. Die patentierte Storyline-Technologie überwacht, verfolgt und kontextualisiert Ereignisdaten automatisch in Ihrer gesamten Unternehmensumgebung, um Angriffe in Echtzeit zu rekonstruieren.

Purple AI beschleunigt Bedrohungsuntersuchungen durch natürliche Sprachabfragen, die Authentifizierungsereignisse in Ihrer Umgebung korrelieren. Mit bis zu 80 % schnellerem Threat Hunting laut frühen Anwendern können Security Analysts Logs durchsuchen, ohne Abfragesprachen zu beherrschen, und erhalten vollständigen Angriffskontext mit vorgeschlagenen nächsten Schritten.

Fordern Sie eine Demo an, um zu sehen, wie die Behavioral AI von SentinelOne credential-basierte Angriffe vor der Privilegieneskalation stoppt.

Wichtige Erkenntnisse

NTLM-Angriffe nutzen Credential Theft, um laterale Bewegung zu ermöglichen, bevor herkömmliche Reaktionen sie stoppen können. Die Durchsetzungsfrist im Oktober 2026 erfordert sofortige Migrationsplanung: Microsoft wird die NTLMv1-Blockierung automatisch durch Änderung des BlockNtlmv1SSO-Registry-Schlüssels von Audit- auf Durchsetzungsmodus ohne Administratorintervention durchsetzen.

Wirksame Verteidigung erfordert ergänzende, mehrschichtige Kontrollen: SMB-Signierung auf Servern und Clients, Extended Protection for Authentication auf kritischen Diensten wie AD CS, LDAP und Exchange Server, Credential Guard für Endpunkt-Credential-Schutz (wobei zu beachten ist, dass er Anmeldedaten im Ruhezustand schützt, aber KEINE Netzwerk-Relay-Angriffe stoppt) und vollständiges Audit-Logging zur Identifizierung von Abhängigkeiten vor der Durchsetzung.

Behavioral AI, die Authentifizierungsmuster über Endpunkte und Identitätsinfrastruktur korreliert, erkennt Credential Abuse, bevor Privilegieneskalation erfolgt.