Come impostare una autenticazione NTLM in Windows utilizzando PowerShell

In un panorama di cybersecurity in continua evoluzione, la sicurezza delle comunicazioni e dello scambio di dati è fondamentale. Uno dei protocolli che è stato al centro delle discussioni è NTLM (NT LAN Manager), utilizzato per autenticare gli utenti negli ambienti Microsoft. Con i recenti progressi e le preoccupazioni per la sicurezza, si è passati dalle vecchie versioni di NTLM alla più sicura NTLMv2. Oggi analizzeremo uno script PowerShell che aiuta a gestire le risposte e impostare una autenticazione NTLM utilizzando LmCompatibilityLevel nel registro di Windows.

Background

Originariamente sviluppato da Microsoft come protocollo di autenticazione, NTLM è stato sottoposto a diversi aggiornamenti per affrontare varie vulnerabilità di sicurezza. Tuttavia, con l’emergere di meccanismi di autenticazione più sicuri, in particolare NTLMv2, è emersa la necessità di limitare o disabilitare le versioni precedenti. Questo script per impostare una autenticazione NTLM aiuta i professionisti IT e i Managed Service Provider (MSP) a effettuare questa transizione senza problemi e senza dover navigare manualmente tra le complesse impostazioni del registro.

Lo script per impostare una autenticazione NTLM

#Requires -Version 5.1

<#
.SYNOPSIS
    Set the LM and NTLMv1 authentication responses via LmCompatibilityLevel in the registry
.DESCRIPTION
    Set the LM and NTLMv1 authentication responses via LmCompatibilityLevel in the registry
.EXAMPLE
    No parameters needed.
    Sets LAN Manager auth level to 5, "Send NTLMv2 response only. Refuse LM & NTLM."
.EXAMPLE
     -LmCompatibilityLevel 5
    Sets LAN Manager auth level to 5, "Send NTLMv2 response only. Refuse LM & NTLM."
.EXAMPLE
     -LmCompatibilityLevel 3
    Sets LAN Manager auth level to 3, "Send NTLMv2 response only."
    This is the default from Windows 7 and up.
.EXAMPLE
    PS C:> Disable-LmNtlmV1.ps1 -LmCompatibilityLevel 5
    Sets LAN Manager auth level to 5, "Send NTLMv2 response only. Refuse LM & NTLM."
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    Reference chart: https://ss64.com/nt/syntax-ntlm.html
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    ProtocolSecurity
#>

[CmdletBinding()]
param (
    [Parameter()]
    [ValidateRange(0, 5)]
    [int]
    $LmCompatibilityLevel = 5
)

begin {
    function Test-IsElevated {
        $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
        $p = New-Object System.Security.Principal.WindowsPrincipal($id)
        if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
        { Write-Output $true }
        else
        { Write-Output $false }
    }
    function Set-ItemProp {
        param (
            $Path,
            $Name,
            $Value,
            [ValidateSet("DWord", "QWord", "String", "ExpandedString", "Binary", "MultiString", "Unknown")]
            $PropertyType = "DWord"
        )
        New-Item -Path $Path -Force -ErrorAction SilentlyContinue | Out-Null
        if ((Get-ItemProperty -Path $Path -Name $Name -ErrorAction SilentlyContinue)) {
            Set-ItemProperty -Path $Path -Name $Name -Value $Value -Force -Confirm:$false | Out-Null
        }
        else {
            New-ItemProperty -Path $Path -Name $Name -Value $Value -PropertyType $PropertyType -Force -Confirm:$false | Out-Null
        }
    }
}
process {
    if (-not (Test-IsElevated)) {
        Write-Error -Message "Access Denied. Please run with Administrator privileges."
        exit 1
    }
    $Path = @(
        "HKLM:SYSTEMCurrentControlSetServicesLsa"
        "HKLM:SYSTEMCurrentControlSetControlLSA"
    )
    $Name = "LmCompatibilityLevel"
    # $Value = $LmCompatibilityLevel
    # Sets LmCompatibilityLevel to $LmCompatibilityLevel
    try {
        $Path | ForEach-Object {
            Set-ItemProp -Path $_ -Name $Name -Value $LmCompatibilityLevel
        }
        
    }
    catch {
        Write-Error $_
        exit 1
    }
    $Path | ForEach-Object {
        $Value = Get-ItemPropertyValue -Path $_ -Name $Name -ErrorAction SilentlyContinue
        if ($null -eq $Value) {
            Write-Host "$_$Name set to: OS's default value(3)."
        }
        else {
            Write-Host "$_$Name set to: $Value"
        }
    }
}
end {}

 

Analisi dettagliata

Lo script per impostare una autenticazione NTLM è essenzialmente diviso in tre fasi: inizio, processo e fine.

• Fase iniziale: Lo script per impostare una autenticazione NTLM inizia con la definizione di due funzioni:
• Test-IsElevated: Controlla se lo script per impostare una autenticazione NTLM viene eseguito con i privilegi di amministratore.
• Set-ItemProp: Crea o imposta una proprietà della chiave di registro.
• Fase del processo: Verifica che l’utente abbia diritti elevati. In caso contrario, viene segnalato un errore. Altrimenti, procede a modificare LmCompatibilityLevel in due potenziali percorsi di registro. Dopo la modifica, lo script per impostare una autenticazione NTLM conferma l’impostazione applicata.
• Fase finale: Non viene utilizzato esplicitamente, ma è un placeholder per potenziali aggiornamenti o estensioni future dello script per impostare una autenticazione NTLM.

Casi d’uso potenziali

Caso di studio: Immagina Jenny, una amministratrice IT di un’organizzazione di medie dimensioni. Recentemente l’organizzazione è stata sottoposta a un controllo di sicurezza che ha rivelato che alcuni sistemi utilizzano ancora versioni di NTLM non aggiornate. Con centinaia di macchine da gestire, aggiornare manualmente ognuna di esse non è una strada percorribile. Utilizzando questo script per impostare una autenticazione NTLM, Jenny aggiorna senza problemi tutti i sistemi, assicurandosi che accettino solo risposte NTLMv2.

Confronti

Anche se i Criteri di gruppo possono essere utilizzati per gestire le impostazioni NTLM in tutta l’organizzazione, gli script PowerShell, come quello per impostare una autenticazione NTLM, offrono maggiore granularità e automazione. Possono essere integrati in strumenti di automazione o flussi di lavoro più ampi, rendendo il processo più snello e meno soggetto a errori manuali.

Domande frequenti

• Come fa lo script per impostare una autenticazione NTLM a verificare i privilegi di amministratore?
  Lo script per impostare una autenticazione NTLM utilizza la funzione Test-IsElevated per determinare se è in esecuzione con diritti di amministratore.
• E se volessi impostare un valore diverso di LmCompatibilityLevel?
  Puoi farlo fornendo il parametro -LmCompatibilityLevel durante l’esecuzione dello script, per esempio in questo modo: Disable-LmNtlmV1.ps1 -LmCompatibilityLevel 3.
• È compatibile con le versioni precedenti di Windows?
  Lo script per impostare una autenticazione NTLM supporta Windows 10 e Windows Server 2016 e versioni successive.

Implicazioni

Impostando il livello LmCompatibilityLevel, i professionisti IT stabiliscono il modo in cui i sistemi gestiscono l’autenticazione NTLM. Utilizzare soltanto NTLMv2 migliora la sicurezza, riducendo i rischi associati alle versioni più vecchie e meno sicure. Tuttavia è fondamentale garantire la compatibilità, poiché i sistemi o le applicazioni più vecchi potrebbero avere problemi di connettività dopo le modifiche.

Raccomandazioni

• Esegui sempre un backup dello stato attuale del registro prima di apportare modifiche.
• Inizialmente, testa lo scriptper impostare una autenticazione NTLM  in un ambiente controllato per comprenderne l’impatto.
• Tieniti informati sulle più recenti best practice di sicurezza e integrale nei tuoi audit di routine.

Considerazioni finali

Se script PowerShell come quello per impostare una autenticazione NTLM consentono ai professionisti IT di migliorare la sicurezza, strumenti di monitoraggio e gestione come NinjaOne amplificano ulteriormente la portata di queste capacità. Grazie all’integrazione di monitoraggio, automazione e reportistica, piattaforme come NinjaOne assicurano che l’infrastruttura IT rimanga solida, sicura ed efficiente, mantenendo complementari l’uso di script e gli interventi manuali.

Ricorda che nel campo dell’IT le misure proattive, combinate con gli strumenti giusti, aprono la strada a una maggiore sicurezza e a una gestione efficiente del sistema.