Microsoft hat die NTLM-Authentifizierung auf Windows und Windows-Servern offiziell abgeschafft und erklärt, dass Entwickler auf Kerberos- oder Negotiation-Authentifizierung umsteigen sollten, um Probleme in Zukunft zu vermeiden.
New Technology LAN Manager, besser bekannt als NTLM, ist ein Authentifizierungsprotokoll, das erstmals 1993 als Teil von Windows NT 3.1 und als Nachfolger des LAN Manager (LM) Protokolls veröffentlicht wurde.
Microsoft sagt, dass die NTLM-Protokolle, die heute noch weit verbreitet sind, ab Juni nicht mehr aktiv weiterentwickelt werden und zugunsten von sichereren Alternativen auslaufen werden.
Dieser Schritt ist nicht überraschend, da Microsoft erstmals im Oktober 2023 seine Absicht bekannt gab, das veraltete Authentifizierungsprotokoll abzuschaffen, und Administratoren aufforderte, zu Kerberos und anderen modernen Authentifizierungssystemen wie Negotiate zu wechseln.
NTLM wurde in großem Umfang für Cyberangriffe missbraucht, die als "NTLM-Relay"-Angriffe bekannt sind und bei denen Windows-Domänencontroller übernommen werden, indem sie gezwungen werden, sich gegenüber bösartigen Servern zu authentifizieren.
Obwohl Microsoft neue Maßnahmen zur Abwehr dieser Angriffe eingeführt hat, wie z. B. die SMB-Sicherheitssignierung, gehen die Angriffe auf die NTLM-Authentifizierung weiter.
So können beispielsweise Passwort-Hashes immer noch abgefangen und in "Pass-the-Hash"-Angriffen verwendet, in Phishing-Angriffen erlangt oder direkt aus gestohlenen Active Directory-Datenbanken oder dem Speicher eines Servers extrahiert werden. Die Angreifer können dann die Hashes knacken, um das Klartextkennwort eines Benutzers zu erhalten.
Abgesehen von der schwächeren Verschlüsselung, die NTLM im Vergleich zu moderneren Protokollen wie Kerberos verwendet, ist die Leistung des Protokolls unterdurchschnittlich, da es mehr Netzwerkumläufe erfordert und keine SSO-Technologien (Single Sign-On) unterstützt.
Abgesehen davon gilt NTLM im Hinblick auf die Sicherheits- und Authentifizierungsstandards von 2024 als stark veraltet, weshalb Microsoft es abschafft.
NTLM-Auslaufprozess
NTLM wird auch in der nächsten Version von Windows Server und in der nächsten jährlichen Version von Windows funktionieren. Dennoch sollten Benutzer und Anwendungsentwickler zu "Negotiate" übergehen, das zuerst versucht, sich mit Kerberos zu authentifizieren und nur bei Bedarf auf NTLM zurückgreift.
Microsoft empfiehlt, dass Systemadministratoren Audittools verwenden, um zu verstehen, wie NTLM in ihrer Umgebung verwendet wird, und um alle Instanzen zu identifizieren, die bei der Formulierung eines Übergangsplans berücksichtigt werden müssen.
Für die meisten Anwendungen kann das Ersetzen von NTLM durch Negotiate durch eine einzeilige Änderung der "AcquireCredentialsHandle"-Anforderung an die Security Support Provider Interface (SSPI) erreicht werden. Es gibt jedoch Ausnahmen, bei denen umfangreichere Änderungen erforderlich sein können.
Negotiate hat einen eingebauten Fallback zu NTLM, um Kompatibilitätsprobleme während der Übergangszeit zu mildern.
Administratoren, die mit Authentifizierungsproblemen zu kämpfen haben, können den Microsoft-Leitfaden zur Kerberos-Fehlerbehebung einsehen.
