Microsoft hat beschlossen, einen starken Schritt gegen einen der ältesten - und problematischsten - Teile der Windows-Authentifizierung zu unternehmen: Das NTLM-Protokoll wird nicht mehr automatisch in den nächsten Hauptversionen des Betriebssystems aktiviert. Nach drei Jahrzehnten die Standard-Alternative in vererbten Umgebungen, argumentiert das Unternehmen, dass NTLM standardmäßig aktiviert hält, macht Organisationen zu Angriff Vektoren, die in 2026 ff nicht mehr akzeptabel sind.
NTLM (New Technology LAN Manager) wurde in den 1990er Jahren als Herausforderungsmethode mit Windows NT geboren - Antwort auf die Authentisierung von Benutzern und Geräten. Es wurde schließlich durch Kerberos in modernen Domänen ersetzt, blieb aber als Sicherungsmechanismus vorhanden. Diese anhaltende Präsenz ist gefährlich, weil NTLM veraltete kryptographische Systeme verwendet und von Angreifern wiederholt genutzt wurde, um Privilegien zu skalieren und sich seitlich innerhalb von Unternehmensnetzwerken zu bewegen.
Die Geschichte des Missbrauchs ist lang: von den klassischen NTLM-Relay-Techniken bis hin zu bestimmten Farmen, die es ermöglichen, Teams zu zwingen, sich gegen Server zu authentifizieren, die vom Angreifer kontrolliert werden. Schwachstellen und Tools wie PetitPotam, die Remote-Dienste missbrauchten, um Relais zu erleichtern, oder RemotePotato0, die erlaubt, das LocalSystem-Konto zu supplantieren, verdeutlichen, warum Experten empfohlen haben, NTLM seit Jahren zu eliminieren oder zu mindern. Microsoft und die Sicherheits-Community haben diese Risiken umfassend dokumentiert; zum Beispiel PetitPotams Beschreibung und Follow-up erscheint in Microsofts Sicherheitsprotokoll CVE-2021-36942, und die RemotePotato0-Technik wurde von Antwort- und Public-Analyse-Teams analysiert als Rapid7.
Über die Relais hinaus bleiben Pass-die- Hash-Angriffe ein praktisches Problem: Gegner extrahieren Hashes der Authentifizierung von kompromittierten Maschinen und verwenden sie wieder, um sich als legitime Nutzer zu authentifizieren. Microsoft bietet Anleitungen, um diese Bedrohungen zu mildern, aber die solideste Lösung ist zu verhindern, dass NTLM als Rückfall an erster Stelle verwendet wird; in diesem Sinne, Offizielle Empfehlungen bleiben eine Referenz für Manager.
Die angekündigte Änderung soll NTLM nicht über Nacht aus dem System löschen. Nach Microsoft ist die Absicht, Windows in einem "Standard-sicheren" Zustand zu liefern, in dem NTLM-Netzwerk-Authentifizierung blockiert und nicht automatisch verwendet wird, während das System moderne Kerberos-basierte Alternativen und phishing-resistente Authentifizierungsmechanismen bevorzugen. Sie können die offiziellen Details des Plans in der Version des Windows-Teams auf dem Microsoft Tech Community Blog lesen Hier..
Um die operativen Auswirkungen zu minimieren, schlägt Microsoft einen dreiphasigen Übergang vor. In der ersten Phase werden verbesserte Audit-Tools (bereits in Windows 11 24H2 und in der Windows Server 2025 Vorschau) für Manager zur Verfügung gestellt, wo NTLM noch in ihren Umgebungen verwendet wird. Diese Sichtbarkeit ist der Schlüssel: Viele Fehler und Patches pro Einheit vererbter Dienste entstehen gerade, weil sie nicht wissen, welche Anwendungen oder Geräte an NTLM delegieren.
In der zweiten Phase, die für die zweite Hälfte von 2026 geplant ist, werden Kapazitäten eingeführt, um legitime Szenarien abzudecken, die historisch zum Fall der Nutzung von NTLM geführt haben, wie IAKerb (Integrated Authentication for Kerberos) und ein Local Key Distribution Center, das lokale Operationen erleichtert, ohne auf das alte Protokoll zurückzugreifen. Schließlich wird in einer dritten Stufe die Netzwerk-NTLM-Authentifizierung standardmäßig in zukünftigen Versionen deaktiviert; das Protokoll bleibt im System für Kompatibilität vorhanden und kann durch explizite Richtlinien wieder aktiviert werden, wenn eine Organisation sie vorübergehend benötigt.
Diese Route wurde bereits von Microsoft vor Monaten bekannt gegeben und ist Teil einer breiteren Strategie, die versucht, auf passwortfreie und phishing-resistente Authentifizierungsmodelle voranzutreiben. Das Unternehmen begann zu warnen über die Notwendigkeit, vor NTLM Jahren zu stoppen und, seit 2010, lädt Entwickler und Administratoren zur Migration nach Kerberos oder zu sicherer Handelsmechanismen. Technische Dokumentation zu NTLM und dessen Abschreibung ist in der offiziellen Dokumentation von Microsoft verfügbar Hier., und die Abgrenzungsroute wurde im Jahr 2024 öffentlich formalisiert.
Für IT-Teams ist die praktische Empfehlung klar: Beginnen Sie so schnell wie möglich mit Inventar und Testen. Aktivieren Sie NTLM-Audit, um Abhängigkeiten zu entdecken, Anwendungen und Geräte von Drittanbietern (Drucker, Altgeräte, alte Integrationen) zu bewerten und Abmildern oder Ersatz zu planen. Wenn NTLM nicht sofort entfernt werden kann, empfehlen Microsoft und andere Anbieter spezielle Einstellungen und Schutzmechanismen - zum Beispiel die Verwendung von Active Directory Certificate Services (AD CS) Zertifikate und Dienste, um die Wirksamkeit der Relais zu reduzieren - und alle offiziellen Härtungsführer anzuwenden.
Der Übergang wird nicht reibungsfrei sein: viele Organisationen hängen von legalisierten Lösungen ab, die seit Jahren keine Updates erhalten haben, und in Industrie- oder Kontrollumgebungen gibt es Geräte, die nur alte Systeme unterstützen. Aus diesem Grund bietet die Möglichkeit, NTLM durch Verwaltungspolitik zu reaktivieren, eine temporäre Matratze, aber es sollte nicht als Entschuldigung für eine verzögerte Modernisierung verstanden werden. Schließlich ist die Verstärkung der Authentifizierung nur ein Stück: Die Kombination mit Netzwerksegmentierung, Monitoring und Früherkennung erhöht die Widerstandsfähigkeit gegenüber Intrusionen dramatisch.
Kurz gesagt, die Microsoft-Anzeige ist ein Weckruf für alle Sicherheitsbeamten: die unmittelbare Zukunft von Windows wird Kerberos priorisieren und passwortfreie Methoden, und NTLM wird standardmäßig blockiert, es sei denn, explizite Notwendigkeit wird gemacht. Diejenigen, die Infrastruktur verwalten, sollten die bereits vorhandenen Audit-Tools nutzen, die Migration von Dienstleistungen planen und die Integration mit Lieferanten überprüfen, weil das Fenster zur Anpassung jetzt Maßnahmen einlädt und Überraschungen vermeiden, wenn die neue Politik weit verbreitet ist.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...