A Microsoft decidiu dar um passo forte contra uma das peças mais antigas – e problemáticas – da autenticação no Windows: o protocolo NTLM deixará de ser ativado automaticamente nas próximas versões principais do sistema operacional. Após três décadas sendo a alternativa por defeito em ambientes herdados, a empresa argumenta que manter o NTLM habilitado por omissão expõe as organizações a vetores de ataque que já não são aceitáveis em 2026 e seguintes.
NTLM (New Technology LAN Manager) nasceu com Windows NT nos anos noventa como método de desafio-resposta para autenticar usuários e equipamentos. Com o tempo foi substituído por Kerberos nos domínios modernos, mas seguiu presente como mecanismo de apoio. Essa presença persistente é perigosa porque a NTLM emprega esquemas criptográficos obsoletos e tem sido explorado repetidamente por atacantes para escalar privilégios e mover-se lateralmente dentro de redes corporativas.
O histórico de abusos é longo: desde as técnicas clássicas de relay de NTLM até explorações concretas que permitem forçar equipamentos comprometidos a autenticar contra servidores controlados pelo atacante. Vulnerabilidades e ferramentas como PetitPotam, que abusou de serviços remotos para facilitar relays, ou RemotePotato0, que permitiu suplantar a conta LocalSystem, ilustram por que os especialistas levam anos recomendando eliminar ou mitigar NTLM. A Microsoft e a comunidade de segurança documentaram esses riscos extensamente; por exemplo, a descrição de PetitPotam e seu seguimento aparece no registro de vulnerabilidades da Microsoft CVE-2021-36942, e a técnica RemotePotato0 foi analisada por equipes de resposta e análise pública como Rapid7.
Além dos relays, ataques de tipo pass-the-hash continuam sendo um problema prático: os adversários extraem hashes de autenticação de máquinas comprometidas e os reutilizam para autenticar-se como usuários legítimos. A Microsoft oferece guias para mitigar essas ameaças, mas a solução mais sólida é evitar que a NTLM seja usada como fallback em primeiro lugar; nesse sentido, as recomendações oficiais Ainda é uma referência para administradores.
A mudança anunciada não pretende apagar NTLM do sistema da noite para a manhã. Segundo a Microsoft, a intenção é entregar o Windows em um estado "seguro padrão" onde a autenticação NTLM por rede está bloqueada e não é usada automaticamente, enquanto o sistema prefere alternativas modernas baseadas em Kerberos e mecanismos de autenticação resistentes ao phishing. Você pode ler os detalhes oficiais do plano no comunicado da equipe do Windows no blog Microsoft Tech Community aqui.
Para minimizar o impacto operacional, a Microsoft coloca uma transição em três fases. Na primeira etapa, serão disponibilizadas ferramentas de auditoria melhoradas (já presentes no Windows 11 24H2 e na pré-visualização do Windows Server 2025) para que os administradores locaisizem onde segue utilizando-se NTLM em seus ambientes. Essa visibilidade é fundamental: muitos erros e adesivos por dependência de serviços herdados surgem precisamente por desconhecer quais aplicativos ou dispositivos delegam em NTLM.
A segunda fase, prevista para a segunda metade de 2026, introduz capacidades pensadas para cobrir cenários legítimos que historicamente causaram a queda ao uso de NTLM, como IAKerb (Integrated Authentication for Kerberos) e um Local Key Distribution Center que facilita operações locais sem recurso ao protocolo antigo. Finalmente, numa terceira etapa, as autenticações NTLM de rede ficarão desactivadas por defeito em futuras versões; o protocolo continuará presente no sistema por compatibilidade e poderá ser reactivado por políticas explícitas se alguma organização o precisar temporariamente.
Este itinerário já foi anunciado pela Microsoft há meses e faz parte de uma estratégia mais ampla que busca avançar para modelos de autenticação sem senhas e resistentes ao phishing. A empresa começou a alertar sobre a necessidade de deixar de usar NTLM há anos e, desde 2010, vem convidando desenvolvedores e administradores a migrarem para Kerberos ou mecanismos de negociação mais seguros. A documentação técnica sobre NTLM e sua deprecação está disponível na documentação oficial da Microsoft aqui, e o percurso de deprecação foi formalizado publicamente em 2024.
Para as equipes de TI, a recomendação prática é clara: começar o quanto antes com inventário e testes. Active a auditoria da NTLM para descobrir dependências, evalue aplicações e dispositivos de terceiros (impressores, equipamentos legacy, integrações antigas) e planifique mitigações ou substituições. Onde não é possível remover a NTLM imediatamente, a Microsoft e outros fornecedores recomendam configurações e proteções específicas - por exemplo, a utilização de certificados e serviços do Active Directory Certificate Services (AD CS) para reduzir a eficácia dos relays - e aplicar todas as guias oficiais de endurecimento.
A transição não estará isenta de fricções: muitas organizações dependem de soluções legadas que não receberam atualizações em anos, e em ambientes industriais ou de controle existem dispositivos que só suportam esquemas antigos. Por isso, a possibilidade de reativar NTLM através de políticas administrativas oferece um colchão temporário, mas não deve ser entendida como uma desculpa para adiar a modernização. Finalmente, fortalecer a autenticação é apenas uma peça: combinar com segmentação de rede, monitoramento e detecção precoce aumenta dramaticamente a resiliência contra invasões.
Em suma, o anúncio da Microsoft representa uma chamada de atenção para todos os responsáveis pela segurança: o futuro imediato do Windows priorizará Kerberos e métodos sem senha, e a NTLM será bloqueada por defeito, salvo necessidade explícita. Aqueles que gerem infra-estruturas devem aproveitar as ferramentas de auditoria já disponíveis, planear a migração de serviços e rever integrações com fornecedores, porque a janela para se adaptar convida a agir agora e evitar surpresas quando a nova política é aplicada de forma generalizada.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...