30 Jahre alte Windows-Technik fliegt raus:
NTLM-Abschalt-Zeitplan
Microsoft zieht bei der Absicherung seiner Windows-Plattformen die Reißleine: In künftigen Windows-Versionen wird das Authentifizierungsprotokoll NTLM standardmäßig deaktiviert. Bekannt ist das schon lange, nun gibt es weitere Infos.
Das Protokoll war lange Zeit die Standardmethode zur Anmeldung in Windows-Netzwerken. Diese Rolle hat NTLM jedoch verloren: Bereits seit Windows 2000 setzt Microsoft in Domänenumgebungen auf Kerberos als bevorzugtes Authentifizierungsverfahren. NTLM wurde seither vor allem als Rückfalllösung genutzt, wenn Kerberos nicht verfügbar war.
Dazu zählen NTLM-Relay-Attacken, bei denen kompromittierte Systeme zur Authentifizierung bei von Angreifern kontrollierten Servern missbraucht werden. Auf diesem Weg lassen sich Zugriffsrechte ausweiten und im Extremfall komplette Windows-Domänen übernehmen. Auch sogenannte Pass-the-Hash-Angriffe, bei denen gestohlene Passwort-Hashes zur Anmeldung verwendet werden, zählen zu den Angriffsszenarien.
Vor diesem Hintergrund will Microsoft den Einsatz von NTLM schrittweise weiter zurückfahren. In der nächsten großen Version von Windows Server sowie in den zugehörigen Windows-Clientversionen soll das Protokoll standardmäßig nicht mehr für Netzwerkanmeldungen genutzt werden.
NTLM bleibt (noch) Bestandteil von Windows, wird jedoch nicht mehr automatisch verwendet.
In der zweiten Phase, jetzt vorgesehen für die zweite Jahreshälfte 2026, sollen neue Funktionen wie IAKerb und ein lokales Key Distribution Center eingeführt werden. Sie sollen typische Einsatzszenarien abdecken, in denen bislang auf NTLM zurückgegriffen wurde. In der dritten Phase wird NTLM standardmäßig blockiert, kann bei Bedarf jedoch weiterhin über Richtlinien aktiviert werden.
Microsoft spricht dabei von einem "Secure-by-Default"-Ansatz. NTLM wird demnach nicht vollständig aus Windows entfernt, Netzwerkanmeldungen über das Protokoll sind jedoch standardmäßig gesperrt.
Die Abkehr von NTLM wurde weit im Voraus geplant. Im Oktober 2023 kündigte Microsoft an, das Protokoll langfristig ausmustern zu wollen. Im Juli 2024 wurde NTLM offiziell als veraltet eingestuft. Schon seit mehr als einem Jahrzehnt weist Microsoft darauf hin, NTLM in Anwendungen nicht mehr zu verwenden. Mit der nun geplanten Standard-Deaktivierung setzt der Konzern diesen Kurs fort.
Ist das überfällig oder kommt der Schritt für viele Umgebungen zu früh - was meint ihr dazu?
Siehe auch:
Relikt von Windows NT 3.1
Begründet wird der Schritt mit seit Jahren bekannten Sicherheitslücken, die Angreifern weitreichende Zugriffsmöglichkeiten eröffnen. NTLM (New Technology LAN Manager) stammt aus dem Jahr 1993 und wurde mit Windows NT 3.1 eingeführt. Jetzt wird der Zeitplan für die Abschaltung überarbeitet.Das Protokoll war lange Zeit die Standardmethode zur Anmeldung in Windows-Netzwerken. Diese Rolle hat NTLM jedoch verloren: Bereits seit Windows 2000 setzt Microsoft in Domänenumgebungen auf Kerberos als bevorzugtes Authentifizierungsverfahren. NTLM wurde seither vor allem als Rückfalllösung genutzt, wenn Kerberos nicht verfügbar war.
Fallback ist ein großes Sicherheitsrisiko
Diese Fallback-Funktion gilt inzwischen als Sicherheitsrisiko. NTLM verwendet vergleichsweise schwache kryptografische Verfahren und ist anfällig für verschiedene bekannte Angriffsmethoden.Dazu zählen NTLM-Relay-Attacken, bei denen kompromittierte Systeme zur Authentifizierung bei von Angreifern kontrollierten Servern missbraucht werden. Auf diesem Weg lassen sich Zugriffsrechte ausweiten und im Extremfall komplette Windows-Domänen übernehmen. Auch sogenannte Pass-the-Hash-Angriffe, bei denen gestohlene Passwort-Hashes zur Anmeldung verwendet werden, zählen zu den Angriffsszenarien.
Vor diesem Hintergrund will Microsoft den Einsatz von NTLM schrittweise weiter zurückfahren. In der nächsten großen Version von Windows Server sowie in den zugehörigen Windows-Clientversionen soll das Protokoll standardmäßig nicht mehr für Netzwerkanmeldungen genutzt werden.
NTLM bleibt (noch) Bestandteil von Windows, wird jedoch nicht mehr automatisch verwendet.
Drei Phasen der Abschaltung
Der Übergang ist in drei Phasen geplant. Zunächst erhalten Administratoren erweiterte Analysewerkzeuge, um die Nutzung von NTLM in bestehenden Umgebungen zu identifizieren. Diese Funktionen stehen unter anderem in Windows 11 Version 24H2 und Windows Server 2025 zur Verfügung.In der zweiten Phase, jetzt vorgesehen für die zweite Jahreshälfte 2026, sollen neue Funktionen wie IAKerb und ein lokales Key Distribution Center eingeführt werden. Sie sollen typische Einsatzszenarien abdecken, in denen bislang auf NTLM zurückgegriffen wurde. In der dritten Phase wird NTLM standardmäßig blockiert, kann bei Bedarf jedoch weiterhin über Richtlinien aktiviert werden.
Microsoft spricht dabei von einem "Secure-by-Default"-Ansatz. NTLM wird demnach nicht vollständig aus Windows entfernt, Netzwerkanmeldungen über das Protokoll sind jedoch standardmäßig gesperrt.
Die Abkehr von NTLM wurde weit im Voraus geplant. Im Oktober 2023 kündigte Microsoft an, das Protokoll langfristig ausmustern zu wollen. Im Juli 2024 wurde NTLM offiziell als veraltet eingestuft. Schon seit mehr als einem Jahrzehnt weist Microsoft darauf hin, NTLM in Anwendungen nicht mehr zu verwenden. Mit der nun geplanten Standard-Deaktivierung setzt der Konzern diesen Kurs fort.
Ist das überfällig oder kommt der Schritt für viele Umgebungen zu früh - was meint ihr dazu?
Was bedeutet das NTLM-Ende für mich?
Das Ende von NTLM betrifft zunächst hauptsächlich Systemadministratoren und Unternehmen, die noch NTLM zur Authentifizierung nutzen. Ab Windows 11 24H2 und Server 2025 wird NTLMv1 nicht mehr verfügbar sein.
Für eine sichere Zukunft empfiehlt Microsoft den Umstieg auf moderne Authentifizierungsmethoden wie Kerberos. Nutzer sollten sicherstellen, dass ihre Systeme und Anwendungen kompatibel mit den neuen Authentifizierungsstandards sind.
Für eine sichere Zukunft empfiehlt Microsoft den Umstieg auf moderne Authentifizierungsmethoden wie Kerberos. Nutzer sollten sicherstellen, dass ihre Systeme und Anwendungen kompatibel mit den neuen Authentifizierungsstandards sind.
Wann wird NTLM abgeschaltet?
Microsoft beginnt die Abschaltung mit Windows 11 24H2 und Windows Server 2025. In diesen Versionen wird zunächst NTLMv1 komplett entfernt. NTLMv2 bleibt vorerst noch bestehen.
Der Konzern hat NTLM als veraltet eingestuft und arbeitet jetzt an der schrittweise Entfernung.
Der Konzern hat NTLM als veraltet eingestuft und arbeitet jetzt an der schrittweise Entfernung.
Welche Alternativen gibt es?
Microsoft entwickelt aktuell zwei neue Kerberos-Funktionen als direkte Alternativen: IAKerb (Initial and Pass Through Authentication Using Kerberos) und Local KDC (Local Key Distribution Center).
Zudem empfiehlt Microsoft die Verwendung des Negotiate-Protokolls, das bevorzugt Kerberos zur Authentifizierung nutzt und nur bei Bedarf auf NTLM zurückgreift. Multi-Faktor-Authentifizierung ist eine weitere empfohlene Sicherheitsoption.
Zudem empfiehlt Microsoft die Verwendung des Negotiate-Protokolls, das bevorzugt Kerberos zur Authentifizierung nutzt und nur bei Bedarf auf NTLM zurückgreift. Multi-Faktor-Authentifizierung ist eine weitere empfohlene Sicherheitsoption.
Warum wird NTLM entfernt?
NTLM hat in der Vergangenheit mehrfach kritische Sicherheitslücken offenbart. Zuletzt musste sogar ein Drittanbieter eine inoffizielle Korrektur für eine Schwachstelle bereitstellen.
Microsoft reagiert mit der Entfernung auf diese Sicherheitsbedenken und möchte Unternehmen vor potenziellen Angriffen über das veraltete Protokoll schützen. Die Umstellung ist Teil einer größeren Sicherheitsinitiative.
Microsoft reagiert mit der Entfernung auf diese Sicherheitsbedenken und möchte Unternehmen vor potenziellen Angriffen über das veraltete Protokoll schützen. Die Umstellung ist Teil einer größeren Sicherheitsinitiative.
Was ist mit älteren Windows-Versionen?
Bestehende Windows-Versionen sind von der NTLM-Entfernung zunächst nicht betroffen. Die Änderungen gelten nur für Windows 11 24H2 und Windows Server 2025 sowie zukünftige Versionen.
Allerdings sollten auch Nutzer älterer Systeme einen Umstieg planen, da Microsoft die weitere Unterstützung von NTLM schrittweise einstellen wird. Sicherheitsupdates für NTLM könnten in Zukunft ausbleiben.
Allerdings sollten auch Nutzer älterer Systeme einen Umstieg planen, da Microsoft die weitere Unterstützung von NTLM schrittweise einstellen wird. Sicherheitsupdates für NTLM könnten in Zukunft ausbleiben.
Ist Kerberos sicherer als NTLM?
Kerberos gilt als deutlich sicherer als NTLM. Es bietet moderne Verschlüsselungsmethoden und verhindert verschiedene Arten von Angriffen, die bei NTLM möglich waren.
Das Protokoll unterstützt zudem erweiterte Funktionen wie Delegierung und gegenseitige Authentifizierung. Diese Eigenschaften machen es zur bevorzugten Wahl für Unternehmensumgebungen.
Das Protokoll unterstützt zudem erweiterte Funktionen wie Delegierung und gegenseitige Authentifizierung. Diese Eigenschaften machen es zur bevorzugten Wahl für Unternehmensumgebungen.
Zusammenfassung
- Microsoft deaktiviert NTLM-Authentifizierungsprotokoll in künftigen Windows
- Das seit 1993 existierende NTLM gilt durch schwache Kryptografie als Risiko
- Kerberos ist seit Windows 2000 das bevorzugte Authentifizierungsverfahren
- NTLM-Relay-Attacken und Pass-the-Hash-Angriffe stellen ernsthafte Bedrohungen dar
- Die Umstellung erfolgt in drei Phasen mit Analysewerkzeugen und Alternativen
- Standardmäßige Blockierung von NTLM ist für die zweite Jahreshälfte 2026 geplant
- NTLM kann bei Bedarf weiterhin gezielt über Windows-Richtlinien aktiviert werden
Siehe auch:
Thema:
Windows 11 Pro im Preisvergleich
IT-Hardpulse 
Mysoftware 
Systeme Software24 
Myoem 
Klp-soft Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
-
So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
-
Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
-
Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
-
Windows 11: Installationsmedium mit eigenen Treibern - so geht's
-
Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Nur für 3 Stunden: Riesiger 85" Mini-LED-TV bei Media Markt im Angebot
- Zero Trust: Windows Server startet verschlüsselte Namensauflösung
- Nvidia GPU RTX Pro 6000: Preis steigt um krasse 55 Prozent
- Google Earth: Flugsimulator jetzt kostenlos im Browser nutzbar
- iPhone Fold Ultra im Hands-on-Video: Alle Details im Überblick
- Tesla-Autopilot: Fahrer hebeln Sicherheitssystem mit 8-€-Gadget aus
- Spiele bis zu 95 % schneller laden: Riesiger Boost für AMD-GPUs ist da
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen