3. Februar 2026
Redmond plant Abschied vom drei Jahrzehnte alten Authentifizierungsprotokoll + Der Softwarekonzern Microsoft hat eine mehrjährige Strategie angekündigt, mit der das Unternehmen die NTLM-Authentifizierung (New Technology LAN Manager) aus seinen Windows-Systemen entfernen will. Das seit über 30 Jahren eingesetzte Protokoll soll künftig standardmäßig deaktiviert werden und modernen Kerberos-basierten Verfahren weichen.
Sicherheitslücken motivieren Strategiewechsel
Die Entscheidung basiert auf technischen Schwachstellen des Challenge-Response-Verfahrens. NTLM weist nach heutigen Standards mehrere Defizite auf: Das Protokoll bietet keine beidseitige Serverauthentifizierung, nutzt veraltete kryptografische Verfahren und ist anfällig für Replay-, Relay- und Pass-the-Hash-Attacken. Bislang fehlten zudem ausreichende Möglichkeiten zur Diagnose und zum Audit der NTLM-Nutzung.
Obwohl das Authentifizierungsverfahren bereits seit längerer Zeit als veraltet gilt, kommt es weiterhin in Umgebungen zum Einsatz, wo Kerberos aufgrund von Legacy-Anwendungen, Netzwerkbeschränkungen oder spezifischer Systemarchitekturen nicht einsetzbar ist.
Dreiphasiger Migrationsplan strukturiert den Übergang
Microsoft hat eine gestaffelte Roadmap entwickelt, die Unternehmen eine planbare Migration ermöglichen soll:
Phase 1: Analyse und Transparenz
Die erste Phase ist bereits verfügbar. Windows Server 2025 und Windows 11 ab Version 24H2 bieten erweiterte Audit-Funktionen, mit denen Administratoren ermitteln können, wo NTLM in ihrer Infrastruktur noch genutzt wird. Diese Analysephase bildet die Grundlage für alle weiteren Migrationsschritte.
Phase 2: Technische Alternativen
In der zweiten Jahreshälfte 2026 werden Lösungen für die häufigsten NTLM-Anwendungsfälle bereitgestellt. Dazu gehören Technologien wie IAKerb und das lokale Key Distribution Center (KDC), das sich derzeit in der Vorabversion befindet. Diese Komponenten ermöglichen Kerberos-Authentifizierung auch in Szenarien ohne direkte Verbindung zum Domänencontroller. Außerdem werden Windows-Kernkomponenten aktualisiert, sodass sie primär Kerberos aushandeln.
Phase 3: Standardmäßige Deaktivierung
Mit der nächsten größeren Windows Server-Version sowie den entsprechenden Client-Releases wird die Netzwerk-NTLM-Authentifizierung standardmäßig abgeschaltet. Eine Nutzung erfordert dann die explizite Aktivierung über Gruppenrichtlinien. Das Betriebssystem bleibt dabei auf moderne Kerberos-Verfahren ausgerichtet.
NTLM bleibt optional verfügbar
Die standardmäßige Deaktivierung bedeutet nicht die vollständige Entfernung des Protokolls. NTLM verbleibt im Betriebssystem und kann bei Bedarf über Richtlinieneinstellungen reaktiviert werden. Dieser Ansatz verbindet Sicherheitsgewinn mit praktischer Kompatibilität während der Übergangsphase.
Parallel werden spezifische Legacy-Szenarien durch neue Funktionen abgedeckt, etwa der Zugriff auf Ressourcen mit unbekannten Service Principal Names (SPNs), Authentifizierungen über IP-Adressen oder lokale Konten auf domänenintegrierten Systemen.
Handlungsempfehlungen für IT-Verantwortliche
Microsoft empfiehlt Unternehmen folgende Schritte:
Die erweiterte NTLM-Überwachung sollte eingesetzt werden, um die aktuelle Nutzung zu dokumentieren. Anschließend gilt es, Abhängigkeiten zwischen Anwendungen und Diensten zu erfassen und nach Priorität zu ordnen. Gegebenenfalls müssen Softwarehersteller kontaktiert werden, um Anwendungen anzupassen.
Kritische Workloads sollten auf Kerberos migriert und getestet werden. Die für die zweite Jahreshälfte 2026 angekündigten Funktionen werden die Einsatzmöglichkeiten von Kerberos deutlich ausweiten. Parallel empfiehlt sich das Testen von NTLM-freien Konfigurationen in Testumgebungen.
Sobald die Kerberos-Erweiterungen über das Windows Insider-Programm verfügbar sind, sollten Unternehmen diese aktivieren und evaluieren.
Microsoft kündigt fortlaufende Aktualisierungen der Dokumentation sowie szenariospezifische Migrationsanleitungen an. Unternehmen, die auf schwer lösbare NTLM-Abhängigkeiten stoßen, können sich an die Adresse ntlm@microsoft.com wenden, um Microsoft bei der Entwicklung praxistauglicher Lösungen zu unterstützen.
Empfehlung:
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Microsoft-Cloud GCC High: Wie FedRAMP eine kritisch bewertete Technologie für US-Behörden genehmigte
CrackArmor: AppArmor-Schwachstellen ermöglichen Root-Zugriff auf über 12 Millionen Linux-Systemen
KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen
MCP-Sicherheitsstudie: 555 Server mit riskanten Tool-Kombinationen identifiziert
SOX-Compliance in SAP: Anforderungen, IT-Kontrollen und der Weg zur Automatisierung
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Quantifizierung und Sicherheit mit modernster Quantentechnologie
KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Hamsterrad-Rebell
Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
