Microsoft har kunngjort en trestegsplan for å fase ut NTLM-autentisering i Windows. Protokollen ble formelt avviklet i juni 2024 og erstattes av Kerberos-baserte alternativer.
NTLM er sårbar for flere angrepstyper
NTLM har vært en del av Windows siden 1993, men protokollen bruker svak kryptografi og er sårbar for replay-angrep og man-in-the-middle-angrep. Microsoft ønsker å gjøre Kerberos til den eneste autentiseringsprotokollen i Windows.
Fase 1 er tilgjengelig nå
Den første fasen gir forbedrede revisjonsverktøy for å identifisere hvor NTLM fortsatt brukes. Verktøyene er tilgjengelige for Windows Server 2025 og Windows 11 24H2.
Migrasjonsverktøy kommer i andre halvår 2026
Fase 2 introduserer IAKerb og lokal Key Distribution Center (KDC) for å fjerne vanlige hindringer ved migrering. IAKerb muliggjør Kerberos-autentisering når direkte nettverkstilkobling til en domenekontroller ikke er tilgjengelig.
NTLM deaktiveres som standard i fremtidig Windows-versjon
I fase 3 vil Microsoft deaktivere nettverks-NTLM som standard i neste store Windows Server-utgivelse. Protokollen vil fortsatt være tilgjengelig i operativsystemet, men krever eksplisitt aktivering gjennom gruppepolicy eller registerinnstillinger.
NTLMv1 blokkeres fra oktober 2026
Fra oktober 2026 endres standardverdien for BlockNTLMv1SSO-registernøkkelen fra «Audit» til «Enforce». Organisasjoner anbefales å teste NTLM-deaktiverte konfigurasjoner i ikke-produksjonsmiljøer før endringen trer i kraft.
Kommentarer0