heise PlusAbo
Anzeige

Auslaufmodell NTLM: Aus Windows 11 24H2 und Server 2025 teils entfernt

Microsoft verbessert den Schutz vor NTLM-Relay-Angriffen. Weitgehend unbemerkt wurden in Windows 11 24H2 und Server 2025 zudem NTLMv1 entfernt.

vorlesen Druckansicht 10 Kommentare lesen
PC mit Windows-Logo zeigt 24H2 an, daneben steht ein Roboter mit Aufschrift AI

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von

Microsoft bemĂĽht sich redlich, die Sicherheit der Betriebssysteme zu verbessern. KĂĽrzlich hat das Unternehmen einen besseren Schutz vor NTLM-Relay-Angriffen umgesetzt. Weitgehend unbeachtet blieb jedoch eine SchutzmaĂźnahme: Die UnterstĂĽtzung fĂĽr NTLMv1 wurde aus Windows 11 mit dem 24H2-Update entfernt.

Auf Nachfrage von heise online hat Microsoft nun etwa die Liste der entfernten Funktionen aus Windows aktualisiert. Denn nicht nur im Windows-Desktop-Client, sondern auch dem Windows Server 2025 hat Microsoft den Support für das veraltete Protokoll entfernt. Auch in der Liste der entfernten Funktionen zum Windows Server 2025 ist nun ein entsprechender Eintrag ergänzt worden.

Microsoft aktualisiert Dokumentation

Da die Redmonder bislang lediglich offiziell die Entfernung aus Windows 11 beschrieben hat, haben wir das Unternehmen zum Status beim Windows Server 2025 befragt. "NTLMv1 wurde sowohl aus Server 2025 als auch Windows 11 Version 24H2 entfernt. Mehr Details finden sich auf den aktualisierten Webseiten auf Englisch", antwortete Microsoft am Freitag dieser Woche. "Wir arbeiten daran, die Dokumentation in den anderen Sprachen zu aktualisieren, um diese Updates widerzuspiegeln", fĂĽhrte das Unternehmen weiter aus.

Videos by heise

Der Eintrag von Windows Server 2025 zum entfernten NTLMv1 gibt Admins noch eine Empfehlung mit: "NTLMv1 wurde entfernt. Aufrufe an NTLM sollten durch Aufrufe an Negotiate ersetzt werden, die zuerst versuchen, sich mit Kerberos zu authentifizieren und nur auf NTLM zurückfällt, wenn das nötig ist. Weitere Informationen liefert der Artikel Evolution of Windows Authentication".

Lesen Sie auch

Vergangene Woche hatte Microsoft erklärt, Sicherungsmaßnahmen gegen häufig beobachtete NTLM-Relay-Angriffe vorzunehmen. Dabei missbrauchen bösartige Akteure abgegriffene Zugangsdaten, um unbefugt Zugang zu Netzwerkressourcen zu erlangen. In Windows Server 2025 kommt dafür etwa Extended Protection for Authentication (EPA) zum Einsatz. In dieselbe Kerbe schlägt das Feature LDAP Channel Binding. Mit beiden können sich Clients nur an bestimmten Servern anmelden, wodurch NTLM-Relay-Angriffe fehlschlagen, die Zugriff auf beliebige Server voraussetzen, die unter Kontrolle der Angreifer stehen.

(dmk)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten