Microsoft har meddelat ett tre steg tillvägagångssätt för att avveckla New Technology LAN Manager (NTLM) som en del av sina insatser för att skifta Windows-miljöer mot starkare, Kerberos-baserade alternativ.
Utvecklingen kommer mer än två år efter att teknikjätten avslöjade sina planer på att avveckla den äldre teknologin, med hänvisning till dess sårbarhet för svagheter som kan underlätta reläattacker och tillåta illvilliga aktörer att få obehörig tillgång till nätverksresurser. NTLM avböjdes formellt i juni 2024 och får inte längre uppdateringar.
”NTLM består av säkerhetsprotokoll som ursprungligen utformades för att ge autentisering, integritet och konfidentialitet till användare,” förklarade Mariam Gewida, teknisk programchef II på Microsoft. ”Men i takt med att säkerhetshot har utvecklats, har även våra standarder förändrats för att möta moderna säkerhetsförväntningar. Idag är NTLM sårbart för olika attacker, inklusive återspelnings- och man-in-the-middle-attacker, på grund av dess användning av svag kryptografi.”
Trots det avböjda statusen sade Microsoft att de fortfarande ser att NTLM är utbrett i företagsmiljöer där moderna protokoll som Kerberos inte kan implementeras på grund av äldre beroenden, nätverksbegränsningar eller inarbetad applikationslogik. Detta utsätter i sin tur organisationer för säkerhetsrisker, såsom återspelnings-, relä- och pass-the-hash-attacker.
Cybersecurity
För att mildra detta problem på ett säkert sätt har företaget antagit en tre-stegsstrategi som banar väg för att NTLM ska stängas av som standard:
- Steg 1: Skapa insyn och kontroll med förbättrad NTLM-granskning för att bättre förstå var och varför NTLM fortfarande används (tillgänglig nu).
- Steg 2: Åtgärda vanliga hinder som förhindrar en migration från NTLM genom funktioner som IAKerb och lokal Key Distribution Center (KDC) (pre-release), samt uppdatera kärnkomponenter i Windows för att prioritera Kerberos-autentisering (förväntad i H2 2026).
- Steg 3: Stänga av NTLM i nästa version av Windows Server och tillhörande Windows-klient, och kräva uttrycklig återaktivering genom nya policystyrningar.
Microsoft har positionerat övergången som ett stort steg mot en framtid utan lösenord, som är motståndskraftig mot phishing. Detta kräver också att organisationer som förlitar sig på NTLM genomför granskningar, kartlägger beroenden, migrerar till Kerberos, testar konfigurationer utan NTLM i icke-produktionsmiljöer och möjliggör Kerberos-uppgraderingar.
”Att stänga av NTLM som standard betyder inte att NTLM helt avlägsnas från Windows än,” sade Gewida. ”Istället innebär det att Windows kommer att levereras i ett säkert standardläge där nätverksautentisering med NTLM blockeras och inte längre används automatiskt.”
