Jetzt sicher: Microsoft schmeißt NTLM endgültig aus Windows
Bereits vor einem halben Jahr hatte Redmond den Schritt angekündigt, nun ist es offiziell: Das Ende des "NT LAN Manager" naht.
Schrauben an den Windows-Einstellungen.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Alle Versionen von NTLM werden nicht mehr weiterentwickelt und gelten als überholt (deprecated). Mit dieser Aussage hat Microsoft nun seine Ankündigung vom vergangenen Oktober konkretisiert und zieht einen Schlussstrich unter den "New Technology LAN Manager", lange Jahre Standard-Authentifizierungsprotokoll in Windows-Netzen.
Wie Microsoft in seiner Übersicht veralteter Features schreibt, betrifft das sowohl LANMAN als auch NTLMv1 und NTLMv2 in Server- und Clientversionen von Windows. In der 2025er-Server-Ausgabe und dem kommenden 24H2-Update für Windows 11 wird NTLM jedoch noch unterstützt.
Voriges Jahr schien der Zeitplan für die NTLM-Abschaffung noch wackelig. In der ersten Ankündigung zur "Evolution der Authentifizierung in Windows" sprach Microsoft von einem "datengetriebenen Ansatz", die Verbreitung des Protokolls zu ermitteln. Die Daten sprachen nun offenbar für eine baldige Abschaffung.
Hauptgrund für den Schritt weg von NTLM sind Sicherheitsbedenken. Die Flexibilität und Zuverlässigkeit von Kerberos sei schlicht höher, konstatiert der Softwarekonzern, der mittlerweile praktisch alle Schlüsselfunktionen des alten Authentifizierungsprotokolls im neuen nachgebaut hat.
Nutzer sollten den Umstieg jetzt einleiten
Bereits damals empfahlen die Redmonder ihren Kunden, NTLM-Nutzung in ihren Netzen zu katalogisieren, um den Umstieg zu erleichtern. Auch Anwendungsentwickler sollten handeln und API-Calls auf den Nachfolger Negotiate ändern. Dazu stehen entsprechende Fachartikel auf den Microsoft-Hilfeseiten bereit. Auch auf der "MSRC BlueHat 2023" thematisierte Steve Syfuhs die Schritte zur erfolgreichen Migration bereits.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Im Anreißer wurde der Eindruck einer Abschaffung schon zum übernächsten Release erweckt; tatsächlich spricht Microsoft von einer schleichenden Abschaffung "über die nächsten Jahre". Das haben wir konkretisiert und einen Videolink zum entsprechenden Bluehat-Talk eingefügt.
(cku)
