Microsoft leitet das Ende von NTLM ein und setzt auf Kerberos : Dreistufiger Migrationsplan soll Windows-Umgebungen sicherer und zukunftsfähig machen

Microsoft hat einen klar strukturierten, dreistufigen Plan, um das veraltete Authentifizierungsprotokoll New Technology LAN Manager (NTLM) schrittweise aus Windows-Umgebungen zurückzuziehen. Zweck ist es, NTLM nicht abrupt abzuschalten, sondern Organisationen ausreichend Zeit zu geben, ihre Systeme und Anwendungen auf moderne Alternativen umzustellen.

Der jetzt vorgestellte Ansatz baut auf einer Entscheidung auf, die Microsoft bereits vor mehr als zwei Jahren öffentlich gemacht hatte. Schon damals kündigte der Konzern an, NTLM wegen grundlegender Sicherheitsprobleme langfristig zu ersetzen. Diese Schwächen lassen sich nicht mehr sinnvoll beheben und eröffnen Angreifern hinlänglich bekannte Möglichkeiten, Authentifizierungsprozesse zu manipulieren oder Zugangsdaten zu missbrauchen.

Im Juni 2024 wurde dieser Schritt formell umgesetzt: NTLM gilt seither offiziell als veraltet und wird von Microsoft nicht mehr weiterentwickelt oder sicherheitstechnisch verbessert. Zwar ist das Protokoll weiterhin in Windows enthalten, neue Schutzmechanismen oder funktionale Anpassungen sind jedoch nicht mehr zu erwarten. Mit dem jetzt veröffentlichten Drei-Phasen-Modell konkretisiert Microsoft erstmals, wie der tatsächliche Ausstieg aus NTLM in der Praxis erfolgen soll und wie Windows-Umgebungen schrittweise auf stärkere, Kerberos-basierte Authentifizierungsverfahren umgestellt werden.

Warum NTLM als Sicherheitsrisiko gilt

NTLM wurde ursprünglich entwickelt, um Authentifizierung, Integrität und Vertraulichkeit in Netzwerken sicherzustellen. Mit der heutigen Bedrohungslage kann das Protokoll jedoch nicht mehr Schritt halten.

Mariam Gewida, Technical Program Manager II bei Microsoft, bringt es auf den Punkt: „NTLM ist anfällig für verschiedene Angriffe, darunter Replay- und Man-in-the-Middle-Angriffe, da es auf schwacher Kryptografie basiert.“ In der Praxis eröffnet dies Angreifern Möglichkeiten für Relay-Angriffe, Pass-the-Hash-Attacken und unautorisierten Zugriff auf Netzwerkressourcen.

NTLM bleibt weit verbreitet

Obwohl NTLM offiziell als veraltet gilt, wird es in vielen Unternehmensnetzwerken weiterhin genutzt. Der Grund ist selten Bequemlichkeit, sondern meist technische Abhängigkeit. Zahlreiche ältere Anwendungen und Systeme wurden fest auf NTLM ausgelegt und lassen sich nicht ohne Weiteres auf moderne Authentifizierungsverfahren umstellen. Hinzu kommen Netzwerkarchitekturen, die Kerberos nicht unterstützen, sowie individuell entwickelte Anwendungen, in denen NTLM tief in die Anmeldeprozesse eingebaut ist.

Diese gewachsenen Strukturen führen dazu, dass Unternehmen an einem Protokoll festhalten, das heutigen Sicherheitsanforderungen nicht mehr genügt. Damit bleiben bekannte Schwachstellen bestehen und Angreifer erhalten potenzielle Einstiegspunkte, die sich mit zeitgemäßen Verfahren eigentlich vermeiden ließen.

Der Drei-Phasen-Plan von Microsoft

Um den Übergang kontrolliert und praxistauglich zu gestalten, setzt Microsoft auf einen klar strukturierten Migrationspfad:

• Phase 1: Aufbau von Transparenz und Kontrolle durch erweiterte NTLM-Audits, um Nutzung und Abhängigkeiten sichtbar zu machen. Diese Phase ist bereits verfügbar.
• Phase 2: In dieser Phase will Microsoft typische technische Hindernisse beseitigen, die bislang einen Umstieg auf Kerberos verhindern. Dazu führt Microsoft neue Funktionen wie IAKerb und ein lokales Key Distribution Center ein. Diese sollen Kerberos auch in Umgebungen nutzbar machen, in denen bislang nur NTLM funktioniert hat, etwa bei komplexen Netzwerkstrukturen oder älteren Anwendungen. Zusätzlich passt Microsoft zentrale Windows-Komponenten so an, dass sie Kerberos automatisch bevorzugen. Diese Phase ist für die zweite Jahreshälfte 2026 geplant.
• Phase 3: Standardmäßige Deaktivierung von NTLM in der nächsten Version von Windows Server und den zugehörigen Windows-Clients. Eine erneute Aktivierung ist dann nur noch über explizite Richtlinien möglich.

Was die Deaktivierung konkret bedeutet

Microsoft betont, dass NTLM nicht sofort vollständig aus Windows entfernt wird. Dazu Mariam Gewida: „Die standardmäßige Deaktivierung bedeutet nicht die vollständige Entfernung von NTLM. Windows wird vielmehr in einem Secure-by-Default-Zustand ausgeliefert, in dem NTLM-basierte Netzwerkauthentifizierung blockiert ist.“

Stattdessen priorisiert das Betriebssystem moderne, Kerberos-basierte Verfahren. Für typische Altszenarien sollen neue Funktionen wie das lokale Key Distribution Center und IAKerb Abhilfe schaffen.

Konsequenzen für Unternehmen

Organisationen, die NTLM weiterhin einsetzen, sollten den geplanten Ausstieg nicht abwarten, sondern frühzeitig mit den Vorbereitungen beginnen. Der Umstieg auf Kerberos ist kein einzelner Schalter, der umgelegt wird, sondern ein strukturierter Prozess, der technische, organisatorische und anwendungsbezogene Abhängigkeiten berücksichtigt.

Zunächst ist es entscheidend, vollständige Transparenz darüber zu gewinnen, wo und in welchem Umfang NTLM noch genutzt wird. Darauf aufbauend müssen die Ursachen identifiziert und schrittweise beseitigt werden, um spätere Betriebsstörungen zu vermeiden.

Konkret umfasst das folgende Schritte:

• Bestandsaufnahme der NTLM-Nutzung: Ermitteln, welche Server, Clients, Dienste und Anwendungen NTLM verwenden und in welchen Szenarien dies geschieht.
• Analyse technischer Abhängigkeiten: Identifizieren von Altsystemen, Eigenentwicklungen oder Netzwerksegmenten, die Kerberos derzeit nicht unterstützen.
• Anpassung und Migration auf Kerberos: Umstellung von Anwendungen, Diensten und Authentifizierungsflüssen auf Kerberos oder kompatible Alternativen.
• Tests in Nicht-Produktivumgebungen: Überprüfen der Funktionalität bei deaktiviertem NTLM, um Fehler frühzeitig zu erkennen und zu beheben.
• Aktivierung erweiterter Kerberos-Funktionen: Nutzung neuer Windows-Funktionen wie IAKerb oder eines lokalen Key Distribution Center, um auch komplexe oder ältere Szenarien abzusichern.

Nur wenn diese Schritte systematisch umgesetzt werden, lässt sich der Übergang von NTLM zu Kerberos kontrolliert und ohne größere Ausfälle gestalten. Gleichzeitig reduziert sich das Risiko, dass bekannte Schwachstellen weiterhin als Einfallstor für Angriffe dienen.

Fazit

Mit dem geplanten Ende von NTLM macht Microsoft deutlich, dass unsichere Anmeldeverfahren in modernen Windows-Umgebungen keinen Platz mehr haben sollen. Der Umstieg auf stärkere Authentifizierungsmethoden ist ein wichtiger Schritt, um Phishing-Angriffe zu erschweren und langfristig ohne klassische Passwörter auszukommen. Für Unternehmen bedeutet das zunächst zusätzlichen Aufwand, führt aber auf Dauer zu deutlich besserer Sicherheit und stabileren IT-Umgebungen.