Microsoft möchte die NTLM-Authentifizierung in Windows 11 irgendwann deaktivieren

Die verschiedenen Windows-Versionen verwenden seit über 20 Jahren Kerberos als Hauptauthentifizierungsprotokoll. Unter bestimmten Umständen muss das Betriebssystem jedoch eine andere Methode verwenden, NTLM (NT LAN Manager). Heute gab Microsoft bekannt, dass es den Einsatz von Kerberos ausweitet und plant, den Einsatz von NTLM schließlich ganz aufzugeben.

In einem Blogbeitrag erklärte Microsoft, dass NTLM weiterhin von einigen Unternehmen und Organisationen für die Windows-Authentifizierung verwendet wird, da es „keine lokale Netzwerkverbindung zu einem Domänencontroller erfordert“. Es sei außerdem „das einzige Protokoll, das bei der Verwendung lokaler Konten unterstützt wird“. und es „funktioniert, wenn man nicht weiß, wer der Zielserver ist“

Microsoft gibt an:

Diese Vorteile haben dazu geführt, dass einige Anwendungen und Dienste die Verwendung von NTLM fest codieren, anstatt zu versuchen, andere, modernere Authentifizierungsprotokolle wie Kerberos zu verwenden. Kerberos bietet bessere Sicherheitsgarantien und ist erweiterbarer als NTLM, weshalb es mittlerweile ein bevorzugtes Standardprotokoll in Windows ist.

Das Problem besteht darin, dass Unternehmen zwar NTLM zur Authentifizierung deaktivieren können, bei diesen fest verdrahteten Apps und Diensten jedoch Probleme auftreten können. Aus diesem Grund hat Microsoft Kerberos um zwei neue Authentifizierungsfunktionen erweitert.

Eine davon ist die Initial- und Pass-Through-Authentifizierung mit Kerberos (IAKerb), die es „einem Client ohne Sichtverbindung zu einem Domänencontroller ermöglicht, sich über einen Server zu authentifizieren, der eine Sichtverbindung hat“. Die andere ist der lokale Schlüssel Distribution Center (KDC) für Kerberos, das Authentifizierungsunterstützung für lokale Konten hinzufügt.

Diese Änderungen werden vorgenommen, damit Kerberos langfristig das einzige Windows-Authentifizierungsprotokoll sein wird. Microsoft erklärte:

Die Reduzierung der NTLM-Nutzung wird letztendlich dazu führen, dass es in Windows 11 deaktiviert wird. Wir verfolgen einen datengesteuerten Ansatz und überwachen die Reduzierung der NTLM-Nutzung, um festzustellen, wann die Deaktivierung sicher ist.

Sobald die Entscheidung gefallen ist, wird Microsoft NTLM zunächst standardmäßig deaktivieren, Unternehmen können es jedoch wieder aktivieren, falls Kompatibilitätsprobleme auftreten. Microsoft hat keinen konkreten Zeitplan bekannt gegeben, wann all dies geschehen wird.