NTLM soll als Altlast komplett aus Windows 11 verschwinden. Denn es befindet sich nach wie vor im Einsatz, obwohl das Authentifizierungsprotokoll als risikoreich und anfällig für Angriffe gilt. Zwar ist es in Microsofts Betriebssystem schon lange kein Standard mehr und wurde im Jahr 2000 durch Kerberos ersetzt, Drittanbietern und Anwenderunternehmen steht die Remote-Authentifizierung über NTLM aber nach wie vor offen.

Jetzt steht aber fest: Das Protokoll soll künftig gänzlich aus Windows 11 verschwinden. "Die Verringerung der Verwendung von NTLM wird letztendlich dazu führen, dass es in Windows 11 deaktiviert wird", schreibt Matthew Palko von Microsoft in einem Blog-Beitrag. "Wir verfolgen einen datengesteuerten Ansatz und überwachen die Verringerung der NTLM-Nutzung, um festzustellen, wann eine Deaktivierung sicher ist." Wann das passieren soll, muss sich also erst noch zeigen.

Kriminelle Akteure hatten NTLM immer wieder für sogenannte NTLM-Relay-Angriffe genutzt, die es schlimmstenfalls erlauben, die vollständige Kontrolle über eine Windows-Domäne zu erlangen. NTLM-Nachfolger Kerberos bietet laut Microsoft hingegen bessere Sicherheitsgarantien und ist leichter erweiterbar als der Vorgänger, weshalb es jetzt das bevorzugte Standardprotokoll in Windows ist.

Die Redmonder haben zudem zwei neue Funktionen für Kerberors angekündigt, um dieses weiter zu optimieren und den Einsatz attraktiver zu gestalten. IAKerb ermöglicht es Clients, sich mit Kerberos in verschiedenen Netzwerktopologien zu authentifizieren. Die zweite Funktion, ein lokaler KDC, fügt lokalen Konten Kerberos-Unterstützung hinzu. Diese Änderungen werden laut Microsoft standardmässig aktiviert und erfordern für die meisten Szenarien keine Konfiguration. (sta)