Windows mit NTLM: Das Ende des Albtraums – vielleicht demnächst
Microsoft will das unsichere NTLM-Protokoll mit der nächsten Windows Server-Version standardmäßig deaktivieren. Dessen Erscheinungstermin bleibt jedoch offen.
(Bild: Curt Bauer / Shutterstock)
In einem weiteren Blog-Posting verspricht Microsoft, das Sicherheitsproblem NTLM aus der Welt zu schaffen. „Mit der nächsten Version von Windows Server“ soll es dann so weit sein; wann die erscheint, ist jedoch nach wie vor ungewiss. Aktuell ist NTLM zwar deprecated, aber nach wie vor in vielen Windows-Systemen aktiv und Administratoren müssen die davon ausgehenden Gefahren managen.
Die Sünden der Vergangenheit
NTLM ist ein seit Jahrzehnten veraltetes Authentifizierungsverfahren, dessen Sicherheitsprobleme altbekannt sind und immer noch etwa von Ransomware-Banden ausgenutzt werden, um sich den Zugang zu Konten mit höheren Rechten zu verschaffen. Insbesondere abgefangene NTLMv1-Hashes lassen sich leicht knacken – etwa mit den von Google bereitgestellten Rainbow-Tabellen. Außerdem lassen sich NTLM-Hashes auch für Pass-The-Hash-Attacken nutzen.
Trotzdem zögert Microsoft, das veraltete Protokoll komplett abzuschalten. Zu viele Systeme nutzen das Verfahren noch. Etwa weil sie keine direkte Verbindung zu einem Domain Controller haben, der für eine Kerberos-Authentifizierung nötig wäre. Oder weil es sich um lokale Accounts handelt oder NTLM fest verdrahtet („hard coded“) ist, erklärt Microsoft. Doch in der zweiten Hälfte des Jahres 2026 will man diese kritischen Punkte der Migration weg von NTLM aus der Welt geschafft haben. IAKerb, lokale Key Distribution Center und Updates zentraler Windows-Komponenten sollen es bis dahin richten.
(Bild: Quelle: Microsoft)
Das Ende naht
Und dann soll es endlich so weit sein. Mit der nächsten großen Windows-Server-Version und den zugehörigen Windows-Clients will man NTLM standardmäßig deaktivieren, heißt es jetzt bei Microsoft. Ganz aus der Welt ist es damit jedoch weiterhin nicht, beugt man übertriebenen Erwartungen der Security-Community vor. Der NTLM-Code wird immer noch Teil von Windows bleiben und Admins werden das unsichere Protokoll somit reaktivieren können. Wann man diesen letzten Schritt der Ausmusterung von NTLM vollziehen will, dazu lässt sich der Konzern nicht weiter aus.
Wer für die Sicherheit von Windows-Netzen verantwortlich ist, sollte nicht auf dieses ungewisse Ende warten, sondern vielmehr sofort Maßnahmen ergreifen, um die von NTLM ausgehenden Gefahren einzuhegen. Wie das sinnvoll geht, erklärt etwa das heise security Webinar zum Thema Sicherheitslücken in NTLM und Kerberos verstehen und schließen. Denn auch den designierten NTLM-Nachfolger Kerberos plagen Sicherheitsprobleme, die Angreifer etwa beim Kerberoasting gezielt ausnutzen.
(ju)
