Microsoft hat offiziell die NTLM-Authentifizierung auf Windows und Windows-Servern für veraltet erklärt und empfiehlt Entwicklern, auf sicherere Authentifizierungsmethoden wie Kerberos oder Negotiation umzusteigen, um zukünftige Probleme zu vermeiden.

Das New Technology LAN Manager-Protokoll, besser bekannt als NTLM, wurde erstmals 1993 als Teil von Windows NT 3.1 veröffentlicht und diente als Nachfolger des LAN Manager (LM)-Protokolls.

Sicherheitsrisiken und Missbrauch von NTLM

NTLM, das noch heute weit verbreitet ist, wird seit Juni nicht mehr aktiv entwickelt und soll zugunsten sichererer Alternativen schrittweise ausgemustert werden. Diese Entscheidung überrascht nicht, da Microsoft bereits im Oktober 2023 seine Absicht ankündigte, das veraltete Authentifizierungsprotokoll einzustellen und Administratoren dazu aufrief, auf Kerberos und andere zeitgemäße Authentifizierungssysteme umzusteigen.

NTLM wurde in der Vergangenheit häufig in sogenannten ‚NTLM Relay‘-Angriffen missbraucht, bei denen Windows-Domänencontroller durch eine Authentifizierung gegenüber bösartigen Servern übernommen wurden. Trotz neuer Maßnahmen von Microsoft zur Verteidigung gegen diese Angriffe, wie SMB-Sicherheitssignaturen, bleiben Angriffe auf die NTLM-Authentifizierung ein Problem.

Übergang zu moderneren Protokollen

Im Vergleich zu moderneren Protokollen wie Kerberos verwendet NTLM eine schwächere Verschlüsselung, benötigt mehr Netzwerkrunden und unterstützt keine Single Sign-On (SSO)-Technologien. Daher gilt NTLM nach den Sicherheits- und Authentifizierungsstandards von 2024 als stark veraltet.

Prozess zur Ausmusterung von NTLM

NTLM wird noch in der nächsten Version von Windows Server und der nächsten jährlichen Windows-Veröffentlichung funktionieren. Anwendungsentwickler und Benutzer sollten jedoch auf ‚Negotiate‘ umsteigen, das zunächst versucht, sich mit Kerberos zu authentifizieren und nur bei Bedarf auf NTLM zurückgreift.

Microsoft empfiehlt Systemadministratoren, Auditing-Tools zu nutzen, um zu verstehen, wie NTLM in ihrer Umgebung verwendet wird und alle Instanzen zu identifizieren, die in einem Übergangsplan berücksichtigt werden müssen.

Für die meisten Anwendungen kann der Ersatz von NTLM durch Negotiate durch eine einfache Änderung in der ‚AcquireCredentialsHandle‘-Anfrage an die Security Support Provider Interface (SSPI) erreicht werden, obwohl es Ausnahmen geben kann, die umfangreichere Änderungen erfordern.

Negotiate beinhaltet einen eingebauten Rückfall auf NTLM, um Kompatibilitätsprobleme während der Übergangszeit zu mildern. Administratoren, die auf Authentifizierungsprobleme stoßen, können Microsofts Kerberos-Fehlerbehebungsanleitung einsehen.