Security Options
Det anbefales på det sterkeste å slå av LM og NTLMv1, og å begynne å kartlegge hvilke applikasjoner som bruker NTLM fremfor Kerberos, slik at man kan begynne å planlegge hvordan man skal redusere NTLM til et absolutt minimum. Dette kan gjøres via Group Policy.
Refuse LM & NTLM
LM & NTLMv1 har ingenting på moderne nett å gjøre. Dersom man ikke setter denne policyen vil man kunne nedgradere fra NTLMv2 til versjon 1 eller til LM, som har svakere mekanismer for autentisering, og øker risiko for en rekke angrep. Ideelt ønsker man å gå over til ren kerberos, men det er ofte en svært utfordrende oppgave.
Slå på logging av innkommende NTLM trafikk.
Det anbefales å slå på logging av NTLM, både for å vite når det er i bruk, men også for å kartlegge hvilke identiteter som fortsatt kommuniserer over NTLM så man kan planlegge migrering til moderne autentiseringsmekanismer som Kerberos. Der dette ikke støttes kan man f.eks vurdere å isolere trafikken slik at kun den trafikken du ønsker å tillate får lov til å bli sendt.
Disse kan to kan man også bruke for å hindre NTLM helt, men det er ikke noe jeg anbefaler å gjøre før man har kartlagt hvilke tjenester som vil slutte å fungere dersom man gjør dette. Det er kjent materie at NTLM vanskelig lar seg utradere helt, selv i 2025.
Avvikling NTLMv2
Etter man har avviklet LM og NTLMv1 og har slått på god logging av NTLMv2 får man et datagrunnlag for å se hvilke tjenester som fortsatt bruker NTLM autentisering, og vi kan begynne å målrettet migrere tjenester bort fra NTLM over på f.eks Kerberos, som er en mer moderne autentiseringsprotokoll.
Der det ikke lar seg gjøre å avvikle NTLM kan man heller la det stå på gitte servere, og strengt kontrollere hvem og hva som har lov til å autentisere over NTLM, via f.eks nettverkssegmentering, IPSec eller lignende tiltak for å øke beskyttelsen.