Microsoft vollzieht einen tiefgreifenden Kurswechsel in der Windows-Authentifizierung: In kommenden Versionen von Windows-Clients und Windows Server wird der NTLM‑Protokollstapel (New Technology LAN Manager) standardmaessig deaktiviert. Dieser Schritt betrifft nahezu jede Enterprise-Umgebung und ist eine direkte Reaktion auf die lange Historie von Schwachstellen und Angriffen rund um NTLM.
Hintergrund: Warum NTLM zum Sicherheitsrisiko wurde
NTLM wurde Anfang der 1990er-Jahre mit Windows NT eingefuehrt und diente lange Zeit als zentrales Authentifizierungsprotokoll in Windows-Netzwerken. Mit Windows 2000 uebernahm zwar Kerberos die Rolle des Standardprotokolls in Active-Directory-Domänen, NTLM blieb jedoch als Fallback aktiv – etwa, wenn kein Kontakt zum Domänencontroller besteht oder Legacy-Systeme im Spiel sind.
Aus heutiger Sicht gelten die kryptografischen Verfahren von NTLM als veraltet. Das Protokoll basiert auf schwachen Hash-Funktionen, bietet keine durchgaengige gegenseitige Authentifizierung und nur unzureichende Schutzmechanismen gegen Replay– und Relay-Angriffe. In internen Netzen mit lateralem Bewegungsradius wird NTLM dadurch zu einem bevorzugten Ziel professioneller Angreifer.
NTLM-Relay-Angriffe: Vom Einzelhost zur Domänenkompromittierung
Ein zentraler Angriffsvektor sind NTLM-Relay-Attacken. Angreifer bringen ein kompromittiertes oder manipuliertes System dazu, sich gegenueber einem von ihnen kontrollierten Dienst mit NTLM zu authentifizieren. Die abgefangenen Anmeldeinformationen werden in Echtzeit an andere Dienste im Netzwerk weitergereicht, um dort legitime Sitzungen mit den Rechten des Opfers aufzubauen.
Bekannte Angriffstechniken wie PetitPotam, ShadowCoerce oder RemotePotato0 nutzen genau diese Schwächen aus. Da NTLM insbesondere auf Windows-Servern und in Legacy-Anwendungen weiterhin weit verbreitet ist, lassen sich aus einem einzelnen Einstiegspunkt oft schnell hoehere Privilegien bis hin zur Domänenadministration ableiten.
Pass-the-Hash: NTLM-Hashes als Generalschlüssel im Netzwerk
Ein zweiter, seit Jahren etablierter Angriffsweg ist Pass-the-Hash. Hierbei extrahieren Angreifer NTLM-Hashwerte von Passwoertern – etwa ueber Malware, lokale Privilegieneskalation oder Tools der Post-Exploitation – und verwenden diese Hashes direkt zur Anmeldung, ohne das Klartextpasswort zu kennen.
Da NTLM die Authentifizierung allein auf Basis des Hashes zulaesst, entspricht ein kompromittierter Hash praktisch einem kompromittierten Passwort. So koennen sich Angreifer unauffällig im Netzwerk bewegen, auf Dateifreigaben, Applikationsserver und kritische Systeme zugreifen und sich dabei als legitime Benutzer tarnen. Incident-Response-Berichte verschiedener Anbieter zeigen, dass Pass-the-Hash in Windows-Umgebungen nach wie vor zu den haeufigsten Techniken gehoert.
Microsofts Migrationsplan weg von NTLM
Die Abschaltung von NTLM ist Teil der Microsoft-Strategie hin zu passwortloser, phishing-resistenter Authentifizierung, etwa mit FIDO2 und Windows Hello for Business. Um Betriebsunterbrechungen zu vermeiden, setzt Microsoft auf einen mehrstufigen Migrationsplan.
Phase 1: NTLM-Audit in Windows 11 24H2 und Windows Server 2025
Mit Windows 11 24H2 und Windows Server 2025 stellt Microsoft erweiterte Audit-Funktionen fuer NTLM bereit. Administratoren koennen damit exakt protokollieren, welche Anwendungen, Dienste und Systeme NTLM noch nutzen und in welchen Kommunikationspfaden Kerberos nicht greift.
Ein sauber konfiguriertes Audit ist Voraussetzung fuer eine sichere Migration. Organisationen muessen verstehen, welche Geschaeftsprozesse von NTLM abhaengen, welche Systeme modernisiert werden koennen und wo kurzfristig nur Kompensationsmassnahmen moeglich sind.
Phase 2: IAKerb und Local KDC als Ersatz fuer typische NTLM-Szenarien
In der zweiten Haelfte des Jahres 2026 plant Microsoft die Einfuehrung zusätzlicher Mechanismen, um typische NTLM-Fallback-Szenarien zu eliminieren. Dazu gehoeren IAKerb und ein Local Key Distribution Center (Local KDC).
IAKerb ermoeglicht die Nutzung von Kerberos auch dann, wenn nur eingeschraenkter oder indirekter Zugriff auf einen Domänencontroller besteht. Ein Local KDC stellt einen lokalen Schluesselverteilungsdienst bereit, der bisherige NTLM-Einsaetze – etwa bei isolierten Systemen oder speziellen Applikationen – ersetzen soll. Ein grosser Teil der Legacy-Anwendungsfaelle laesst sich damit voraussichtlich ohne NTLM abdecken.
Phase 3: NTLM standardmaessig deaktiviert, manuell weiterhin verfuegbar
In einem nachgelagerten Release wird NTLM in Windows und Windows Server standardmaessig deaktiviert. Das Protokoll verschwindet nicht vollstaendig aus dem System, kann aber nur noch gezielt ueber Gruppenrichtlinien und Sicherheitsrichtlinien reaktiviert werden.
Damit verfolgt Microsoft das Prinzip der secure by default-Konfiguration: Neue Installationen sollen ohne zusaetzliche Massnahmen gegen NTLM-basierte Netzwerkauthentifizierung geschuetzt sein, waehrend Kerberos und moderne, besser abgesicherte Authentierungsverfahren Prioritaet erhalten.
Auswirkungen auf Unternehmen und priorisierte Massnahmen
Fuer Organisationen ist die Ankuendigung ein klares Signal zur Modernisierung der Authentifizierungslandschaft. Entwicklungsabteilungen sollten Anwendungen konsequent auf Kerberos oder Negotiate-Authentifizierung sowie – wo sinnvoll – auf moderne Protokolle wie OAuth 2.0 und OpenID Connect umstellen.
IT- und Security-Teams sollten zeitnah eine Bestandsaufnahme aller NTLM-Abhaengigkeiten durchfuehren. Dazu gehoeren interne Webanwendungen, Fileserver, Management-Werkzeuge, Legacy-Services und Drittsysteme. Auf Basis dieser Inventur lassen sich Migrations-Roadmaps und Priorisierungen erstellen.
Parallel dazu empfiehlt sich eine Härtung von Active Directory: Deaktivierung von NTLM, wo bereits moeglich, verpflichtende Signierung und Verschluesselung von SMB, Absicherung von Active Directory Certificate Services gegen NTLM-Relay sowie Einsatz starker Richtlinien fuer Dienstkonten. SOC-Teams sollten Erkennungsregeln fuer NTLM-Relay- und Pass-the-Hash-Angriffe in SIEM- und EDR-Loesungen verankern.
Langfristig profitieren Unternehmen doppelt: Die Reduktion von NTLM verringert den Angriffsraum fuer interne Angriffe und unterstuetzt zugleich Zero-Trust-Strategien und den Uebergang zur passwortlosen Authentifizierung. Organisationen, die jetzt mit Audit, Planung und Migration beginnen, minimieren das Risiko erfolgreicher Angriffe und vermeiden kostspielige Ad-hoc-Massnahmen, wenn NTLM in Windows tatsaechlich nicht mehr als sicherer Standard gilt.
