GPO: LAN Manager Authentication Level (NTLMv2 Only)

LM hanteert zwakke DES-hashes die binnen seconden met rainbow tables zijn te kraken, NTLMv1 kent geen sessiesleutels met hoge entropie, ondersteunt geen wederzijdse authenticatie en blijft gevoelig voor pass-the-hash-, relay- en downgrade-aanvallen. Wanneer deze protocollen actief blijven kan iedere aanvaller die een hash buitmaakt zich lateraal bewegen richting domeincontrollers of kroonjuwelen, wordt BIO-controle 13.02 ondermijnd en ontstaan compliance-risico's richting AVG, NIS2 en ENSIA-audits. Door NTLMv2 te verplichten en Kerberos als primaire methode te behouden worden deze aanvalsketens drastisch ingeperkt.

Implementatie

Met niveau 5 van het GPO wordt enkel een NTLMv2-response verstuurd, worden LM en NTLMv1 categorisch geweigerd en wordt tegelijkertijd voorbereid op een toekomst waarin NTLM volledig wordt uitgefaseerd. Het beleid omvat het herstructureren van GPO's, het testen van legacy-applicaties, het documenteren van uitzonderingen en het plannen van een gefaseerde overgang naar Kerberos-only authenticatie zodra afhankelijkheden zijn opgelost.

Vereisten

Een veilige overgang naar NTLMv2 begint met een volledig beeld van de Active Directory-architectuur binnen de Nederlandse Baseline voor Veilige Cloud. Breng alle domeinen, forests, trustrelaties, resource-domeinen en eventuele read-only domeincontrollers in kaart. Controleer per controller het Windows Server-release niveau, de geïnstalleerde cumulatieve updates en de beschikbaarheid van veilige SMB- en RPC-kanalen. Valideer dat SYSVOL-replicatie gezond is en dat de tijdssynchronisatie conform Kerberos-toleranties blijft. Zonder deze basis is het onmogelijk om te garanderen dat beleidsreplicatie betrouwbaar verloopt of dat er geen vergeten controller in een nevenlocatie verouderde protocollen blijft accepteren. Vervolgens is een inventarisatie van afhankelijkheden cruciaal. Documenteer per businessapplicatie welk authenticatieprotocol wordt gebruikt, welke serviceaccounts betrokken zijn en of er nog systemen zijn die via oude SMBv1-stacks communiceren. Denk aan multifunctionals, netwerkapparatuur, NAS-appliances of historische applicaties op Windows Server 2003 of 2008. Identificeer leveranciers die nog geen NTLMv2 ondersteunen en bepaal per systeem of migratie, mitigatie of uitfasering haalbaar is. Verzamel daarnaast informatie over externe partijen met forest-trusts of extranet-verbindingen; hun compatibiliteit bepaalt of uitzonderingen tijdelijk nodig zijn. Een representatieve testomgeving is eveneens een harde vereiste. Richt een gescheiden lab in waarin de huidige productieconfiguratie zo nauw mogelijk wordt nagebootst, inclusief identieke GPO-hiërarchieën, scripts, security filtering en WMI-filters. Zorg voor testaccounts met dezelfde rechtenstructuur als in productie en automatiseer scenario's voor aanmelding via desktop, RDP, IIS en legacy services. Alleen zo kan worden vastgesteld welke applicaties interne NTLM-challenges starten, hoe token signing verloopt en of fallback naar Kerberos probleemloos blijft functioneren wanneer NTLMv1 volledig wordt geweigerd. Ook organisatorische randvoorwaarden mogen niet ontbreken. Stem de wijziging af met change- en releasebeheer, leg onderhoudsvensters vast en bevestig dat het Computer Emergency Response Team, SOC en servicedesk draaiboeken klaar hebben. Voorzie in communicatiepakketten richting werkplekbeheer, functioneel beheerders en leveranciers zodat iedereen weet wat de policywijziging inhoudt en hoe verstoringen moeten worden gemeld. Definieer bovendien duidelijke exitcriteria voor de tests, inclusief prestatie- en stabiliteitsmetingen op kritieke ketens zoals financiële applicaties of burgerportalen. Tot slot zijn documentatie en compliance-eisen onderdeel van de vereisten. Werk de basisarchitectuurdocumenten, het technische beveiligingsdossier en de ENSIA-bewijslast bij, inclusief verwijzingen naar relevante BIO-paragrafen. Borg dat het risicoregister is geactualiseerd met scenario's voor applicaties die nog tijdelijk NTLMv1 vereisen en noteer welke compenserende maatregelen gelden. Pas wachtwoordbeleid, wachtwoordkluisprocedures en monitoringplannen aan zodat ze expliciet naar NTLMv2 verwijzen. Met deze combinatie van technische, organisatorische en juridische voorwaarden is de organisatie klaar om het beleid veilig en aantoonbaar te activeren. Vooraf moet ook het licentie- en supportkader duidelijk zijn. Verifieer met leverancierscontracten en Microsoft Support welke edities in scope zijn, welke extended supportpaden nog lopen en of aanvullende hotfixes noodzakelijk zijn. Leg bevoegdheden vast voor de beheerders die GPO's mogen wijzigen en zorg dat er altijd twee-beheerder-principes worden toegepast. Hiermee blijft de maatregel niet alleen technisch haalbaar, maar ook bestuurlijk geborgd. Maak tot slot duidelijke afspraken over hoe toekomstige projecten nieuwe afhankelijkheden mogen introduceren. Veranker in het architectuurboard dat elke afwijking vooraf wordt gemeld, dat technische ontwerpen een paragraaf bevatten over NTLM-compatibiliteit en dat leveranciers vanaf het aanbestedingsproces verplicht worden gesteld NTLMv2 en Kerberos te ondersteunen. Koppel deze afspraken aan opleidingsplannen zodat nieuwe beheerders direct vertrouwd raken met de beveiligingsnormen.

Implementatie

Gebruik PowerShell-script network-security-lan-manager-authentication-level.ps1 (functie Invoke-Implementation) – Implementeren.

De uitvoering start met een grondige voorbereiding waarin het implementatieteam de ontwerpbesluiten vastlegt. Beschrijf in het technische draaiboek waarom niveau 5 wordt afgedwongen, hoe dit past binnen de Nederlandse Baseline voor Veilige Cloud en welke fallbackscenario's gelden. Zorg dat change-, risk- en architectuurboards formeel akkoord hebben gegeven en dat de benodigde onderhoudsvensters in het centrale planningssysteem zijn geboekt. Dit document fungeert tevens als communicatiemiddel richting de beheerders van applicaties die op NTLM vertrouwen, zodat zij exact weten welke testresultaten moeten worden aangeleverd voordat productie wijzigt. Gebruik vervolgens het script network-security-lan-manager-authentication-level.ps1 om de huidige configuratie uit alle relevante OU's en GPO's te inventariseren. Het script genereert rapportages die laten zien waar afwijkende instellingen bestaan, welke systemen nog LM of NTLMv1 accepteren en waar security filtering ontbreekt. Sla de output op in het beveiligingsdossier en koppel deze aan een baseline met versienummer. Maak een back-up van de bestaande GPO via Backup-GPO zodat terugdraaien mogelijk blijft wanneer een bedrijfskritische dienst onverwachte foutmeldingen produceert. Daarna wordt de nieuwe of bijgewerkte GPO opgebouwd. Maak bij voorkeur een dedicated beleidsobject SEC - Network security: LAN Manager authentication level met duidelijke beschrijving, changereferentie en verantwoordelijke eigenaar. Stel binnen Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options de waarde in op "Send NTLMv2 response only. Refuse LM & NTLM". Activeer tevens bijbehorende instelbare parameters zoals "Network security: Minimum session security for NTLM SSP based clients" om integriteit en versleuteling te dwingen. Pas security filtering toe op een test-OU en gebruik WMI-filters indien bepaalde besturingssystemen tijdelijk uitgezonderd moeten blijven. Voordat het beleid naar productie gaat vindt een gefaseerde uitrol plaats. Start met een isolated pilot waarin een representatieve set werkstations, Citrix-servers, beheerderslaptops en serviceaccounts meedoet. Monitor authenticatiepogingen via Event Viewer, Azure Monitor of Microsoft Sentinel en verzamel feedback van eindgebruikers over applicaties die ineens aanvullende prompts tonen. Zodra de pilot stabiel is wordt het beleidsobject gekoppeld aan hogere OU's. Gebruik staged linking en zorg dat replicatie tussen domeincontrollers is voltooid voordat het venster sluit. Communiceer helder via intranetberichten, change-notificaties en directe sessies met beheerders. Na succesvolle implementatie worden bewijslast en documentatie bijgewerkt. Publiceer het definitieve configuratierapport, archiveer de pilotresultaten en registreer in het configuratiemanagementsysteem dat NTLMv2 exclusief is afgedwongen. Leg ook vast hoe nieuwe systemen worden gecontroleerd voordat ze aan productiedomeinen worden toegevoegd en hoe de PowerShell-scripts periodiek draaien om configuratiedrift vroegtijdig te detecteren. Deze afsluitende stap zorgt ervoor dat auditors en security officers direct kunnen aantonen dat de maatregel duurzaam is ingebed in de operatie. Vergeet niet om integratie met het configuration management database en het geautomatiseerde buildproces op te nemen. Nieuwe workloads moeten een deployment gate doorlopen waarin wordt gecontroleerd of de betreffende OU de juiste GPO-link heeft en of golden images het gewenste registerpad reeds bevatten. Door Infrastructure as Code pipelines (bijvoorbeeld Azure DevOps of GitHub Actions) te voorzien van lintingregels tegen LM- en NTLMv1-configuraties blijft de maatregel ook bij toekomstige uitrolmomenten intact. Instrueer tenslotte alle beheerafdelingen via kennisartikelen en e-learningmodules, zodat nieuwe medewerkers begrijpen hoe het beleid werkt, welke scripts moeten worden gebruikt en welke escalatieroutes gelden.

Compliance

De maatregel sluit direct aan bij de controlereeksen van CIS Windows Benchmark Level 1, de Microsoft Security Baseline voor Windows en de richtlijnen die binnen de Nederlandse Baseline voor Veilige Cloud zijn vastgesteld. Door NTLMv2 exclusief te maken wordt het principe van vertrouwelijkheid en integriteit van authenticatieprocessen geborgd, wat rechtstreeks bijdraagt aan het naleven van het rijksoverheidsbeleid rondom veilige toegang tot generieke infrastructuur. Binnen de BIO staat paragraaf 13.02 centraal: deze vereist dat authenticatoren alleen via bewezen veilige mechanismen worden uitgewisseld en dat zwakke of verouderde protocollen aantoonbaar zijn uitgefaseerd. Het afdwingen van niveau 5 bewijst dat LM en NTLMv1 niet langer beschikbaar zijn, waarmee risico's op replay-aanvallen, credential forwarding en onbevoegde privilege-escalatie drastisch afnemen. Bovendien ondersteunt de maatregel het BIO-vereiste rond logging en monitoring omdat NTLM-verkeer hierdoor eenduidig kan worden geanalyseerd. Ook ISO 27001:2022 control A.9.4.2 stelt dat toegangsrechten en authenticatiemethoden moeten worden beschermd tegen misbruik en dat cryptografische sterkte up-to-date blijft. NTLMv2 biedt een veel sterkere hashing- en challenge-response-architectuur waardoor organisaties kunnen aantonen dat zij een best practice hanteren. Voor BIR-instellingen geldt dat deze maatregel rechtstreeks de beveiligingsniveaus BBN2 en BBN3 ondersteunt. Dit vormt aanvullend bewijs richting AVG-artikel 32 (passende technische maatregelen) en NIS2-verantwoordingsplichten, vooral wanneer burgers of bedrijven via overheidsportalen inloggen op systemen die nog terugvallen op NTLM. Auditors verwachten dat beleidsdocumenten, GPO-back-ups, rapportages van het gebruikte PowerShell-script en change tickets beschikbaar zijn om de effectiviteit van de maatregel te staven. De rapportage moet laten zien welke organisatorische eenheden zijn gekoppeld, welke uitzonderingen tijdelijk worden toegestaan en hoe compensating controls (zoals segmentatie of jump servers) worden toegepast. Koppel deze bewijsvoering aan ENSIA, DigiD-assessment en Microsoft Secure Score zodat dezelfde dataset meerdere toezichthouders bedient. Daarnaast vragen toezichthouders als de Autoriteit Persoonsgegevens en de NOREA-auditor om inzicht in de wijze waarop afwijkingen worden afgehandeld. Documenteer daarom in het ISMS dat incidentresponsprocessen automatisch worden getriggerd wanneer NTLMv1 wordt gedetecteerd en dat deze melding in maximaal 24 uur wordt beoordeeld. Leg vast dat logbestanden minimaal zeven jaar worden bewaard, dat authenticatie-informatie alleen toegankelijk is voor geautoriseerde medewerkers en dat er een duidelijk scheiding der taken bestaat tussen beleidsbeheer en operationeel beheer. Voor ketenpartners is contractmanagement essentieel: neem in verwerkersovereenkomsten en SLA's op dat verbindingen met rijkssystemen uitsluitend NTLMv2 of Kerberos gebruiken en dat een protocolwijziging direct wordt gemeld. Dit voorkomt dat externe leveranciers de compliancepositie ondermijnen. Het opnemen van deze clausules sluit aan bij het beginsel van ketenverantwoordelijkheid in NIS2 en helpt bij Europese aanbestedingen omdat de beveiligingseisen vanaf dag één helder zijn. Zonder aantoonbare beheersing van het NTLM-niveau ontstaat een compliance-gap waarin oude protocollen kunnen worden misbruikt zonder dat de organisatie het direct merkt. Deze lacune wordt bij audits uitgelegd als onvoldoende uitvoering van de zorgplicht en leidt tot aanvullende eisen, herstelplannen of in het uiterste geval bestuurlijke maatregelen. Door de instelling in deze JSON expliciet te beschrijven en het proces eromheen te formaliseren, toont de organisatie aan dat zij proactief invulling geeft aan cybersecurityverplichtingen, continu verbetermaatregelen adopteert en periodiek self-assessments uitvoert om de naleving te borgen, terwijl onafhankelijke reviewcycli dit toezicht versterken.

Monitoring

Gebruik PowerShell-script network-security-lan-manager-authentication-level.ps1 (functie Invoke-Monitoring) – Controleren.

Een volwassen monitoringsstrategie combineert configuratievalidatie, telemetrie en operationele opvolging. Start met een dagelijkse export van de relevante GPO's en voer het script network-security-lan-manager-authentication-level.ps1 uit in read-only modus zodat afwijkingen ten opzichte van de referentie direct zichtbaar worden. Gebruik versiebeheer om elke wijziging te registreren en koppel het resultaat aan het centrale compliance-dashboard. Zo ontstaat een actuele lijst van systemen waar de instelling ontbreekt of waar een lokale beheerder heeft geprobeerd de policy terug te draaien. Aan de endpointzijde moet Windows Event Forwarding of Microsoft Defender for Endpoint alle authenticatiegerelateerde events (Security 4624, 4625, 4776 en 1006) richting het SIEM sturen. Label events waarin PackageName NTLMv1 of LM bevat als high priority en configureer Sentinel- of Splunk-analyses die automatisch incidenten openen. Verrijk de meldingen met device tags, OU-informatie en applicatie-eigenaren zodat het SOC direct weet bij wie een escalatie moet worden neergelegd. Combineer dit met Netlogon logging en SMB signing-statistieken om patroonherkenning mogelijk te maken. Naast technisch toezicht is periodieke penetratietesting verplicht. Laat redteamers of externe auditors pass-the-hash- en relay-aanvallen uitvoeren binnen een gecontroleerde omgeving om aan te tonen dat de combinatie van NTLMv2 en aanvullende maatregelen de weerstand verhoogt. Documenteer de gebruikte tools (bijvoorbeeld Mimikatz, Rubeus of Impacket) en hun resultaten, zodat duidelijk is dat succesvolle aanvallen alleen mogelijk zijn wanneer aanvullende factoren (zoals ontbrekende MFA) meespelen. Deze informatie voedt het risicoregister en motiveert prioritering van aanvullende hardening. Monitoring reikt verder dan detectie; het omvat ook trendanalyse. Gebruik Power BI of een ander rapportageplatform om maandelijks inzicht te geven in het aantal NTLMv1-pogingen per businessunit, de tijdigheid van GPO-replicatie en de duur van incidentafhandeling. Door KPI's te koppelen aan de prestatie-indicatoren van de Chief Information Security Officer kan het bestuur evalueren of de ingestelde maatregelen daadwerkelijk effect hebben. Implementeer daarnaast automatische validatie in endpoint management platforms zoals Microsoft Intune, ConfigMgr of Ivanti. Bouw compliance policies die het registerpad HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel uitlezen en een non-compliant status geven wanneer de waarde afwijkt van 5. Koppel deze status aan automatische remediations, bijvoorbeeld een PowerShell-remediation script dat direct de juiste waarde terugzet. De resultaten worden weergegeven in dashboards die per businessunit laten zien welke systemen buiten profiel vallen en hoeveel tijd er nodig is om herstelacties te voltooien. Leg daarnaast de monitoringresultaten vast in het service management platform zodat incident-, problem- en changeprocessen gevoed worden met dezelfde data. Hierdoor kan problem management patronen herkennen (bijvoorbeeld terugkerende issues bij een specifieke leverancier), terwijl change management vooraf kan toetsen of een aanstaande wijziging aanvullende telemetrie vereist. Door rapportages standaard te agenderen in het overleg met de CISO-office en de Chief Information Officer blijft de bestuurlijke aandacht op de maatregel gericht. Tot slot moet de monitoringafdeling beschikken over escalatie- en communicatieprotocollen. Beschrijf welke prioriteit een detectie van NTLMv1 krijgt, welke technische stappen het SOC neemt (bijvoorbeeld isoleren via Defender), hoe er wordt opgeschaald naar het Computer Emergency Response Team en hoe lessons learned worden vastgelegd. Voeg daaraan toe dat escalaties binnen twee uur worden beoordeeld en dat het SOC de statusupdates actief deelt met de verantwoordelijke proceseigenaren. Door deze combinatie van tooling, processen en rapportages blijft het afdwingen van NTLMv2 geen eenmalig project maar een continu bewaakt beveiligingsanker.

Remediatie

Gebruik PowerShell-script network-security-lan-manager-authentication-level.ps1 (functie Invoke-Remediation) – Herstellen.

Wanneer monitoring uitwijst dat een systeem opnieuw LM of NTLMv1 accepteert, moet er een strak gedefinieerd herstelproces klaarstaan. Start met het uitvoeren van het script network-security-lan-manager-authentication-level.ps1 in remediation-modus zodat de policy direct opnieuw wordt toegepast op de getroffen OU of individuele machine. Valideer aansluitend via gpresult of Advanced Group Policy Management dat de instelling daadwerkelijk effectief is. Indien de afwijking ontstaat door een lokale override, verwijder dan het betreffende registeritem via een geautomatiseerde PowerShell-deployment en blokkeer het account dat de wijziging aanbracht totdat de oorzaak is opgehelderd. Parallel aan de technische correctie wordt het incident geregistreerd in het ISMS. Het SOC koppelt het ticket aan de verantwoordelijke applicatie- of systeembeheerder en legt vast welke bedrijfsprocessen mogelijk zijn geraakt. Wanneer blijkt dat een oudere applicatie de instelling bewust heeft teruggedraaid, wordt een tijdelijke isolatiemaatregel ingezet: plaats het systeem in een apart netwerksegment, beperk uitgaande authenticatie of dwing gebruik van een jump server die wel NTLMv2 afdwingt. Beschrijf expliciet hoe lang een uitzondering geldig mag zijn en welke compenserende maatregelen (bijvoorbeeld extra monitoring of een serviceaccountrotatie) verplicht zijn. Na het technische herstel volgt root cause analysis. Gebruik logging om te bepalen of er sprake was van menselijk handelen, een fout in een deploymenttool of een schadelijke actor. Leg de bevindingen vast in het risicoregister en werk indien nodig procedures bij, bijvoorbeeld door changegoedkeuringen te verscherpen of aanvullende hardening-scripts te integreren in het buildproces. Informeer het management en, indien relevant, compliance officers zodat zij inzicht hebben in de impact en de voortgang van structurele verbetermaatregelen. Een effectieve herstelstrategie vereist ook duidelijke communicatie richting eindgebruikers en applicatie-eigenaren. Stel korte statusupdates beschikbaar via het serviceportal, inclusief een indicatie van de resterende verstoring en eventuele gebruikersacties (zoals opnieuw aanmelden). Wanneer het herstel invloed heeft op ketenpartners, stuur dan een gestandaardiseerde melding waarin staat welke authenticatiemethode tijdelijk is toegestaan en welke logging zij moeten aanleveren ter ondersteuning van de reconstructie. Voeg een kwaliteitspoort toe waarin een onafhankelijk team controleert of alle herstelstappen zijn vastgelegd en of de betrokken systeemdocumentatie is bijgewerkt. Gebruik checklists voor het updaten van CMDB-records, het herstarten van afhankelijkheden en het opnieuw uitvoeren van beveiligingstesten. Dit voorkomt dat dezelfde kwetsbaarheid terugkeert omdat documentatie of automatisering achterblijft. Wanneer een grootschalige verstoring optreedt, activeer dan het crisismanagementteam en voer een impactanalyse uit op basis van prioritaire diensten (bijvoorbeeld identiteitsvoorziening, burgerportalen en financiële systemen). Maak gebruik van geautomatiseerde configuratievergelijkingen om te bepalen of meerdere OU's of domeinen zijn getroffen en beslis of een rollback van het volledige beleidsobject noodzakelijk is. In zo'n scenario moet duidelijk zijn welke beslissingsbevoegdheid de CISO heeft en hoe herstelacties worden afgestemd met leveranciers die mogelijk hun software moeten patchen. Dit herstelproces eindigt pas wanneer lessons learned zijn verwerkt in de standaardwerkwijze. Plan een terugblik met werkplekbeheer, identity-specialisten en security officers om te bepalen welke training, communicatie of tooling moet worden verbeterd. Documenteer alles in het technische beveiligingsdossier, leg beslissingen vast in het changeregister en laat de CISO het afsluiten van het incident formeel goedkeuren zodat toekomstige audits kunnen aantonen dat incidenten rond NTLM-beleid snel en aantoonbaar zijn opgelost.

Compliance & Frameworks

• CIS M365: Control Windows - NTLM level (L1) -
• BIO: 13.02.01 -
• ISO 27001:2022: A.9.4.2 -

Automation

Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).

Risico zonder implementatie

Management Samenvatting

Blokkeer legacy LAN Manager-protocollen volledig, verplicht NTLMv2 als minimale standaard, test vooraf alle legacy-applicaties en documenteer uitzonderingen zodat Kerberos primair blijft en alleen moderne challenge-response-methoden organisatiebrede toegang mogelijk maken.

• Implementatietijd: 15 uur
• FTE required: 0.05 FTE