Microsoft объявила о кардинальном изменении в механизмах аутентификации Windows: в будущих версиях клиентских и серверных ОС протокол NTLM (New Technology LAN Manager) будет отключен по умолчанию. Решение затрагивает корпоративные сети по всему миру и напрямую связано с долгой историей уязвимостей NTLM и массовой эксплуатацией этого протокола в современных кибератаках.
Почему Microsoft отказывается от NTLM в Windows
NTLM появился еще в 1993 году вместе с Windows NT 3.1 как сменщик LAN Manager и долгое время оставался основным протоколом аутентификации в среде Windows. Начиная с Windows 2000, роль стандарта для доменных устройств перешла к Kerberos, однако NTLM продолжал использоваться как резервный механизм, когда Kerberos недоступен (например, при отсутствии связи с контроллером домена или в легаси-средах).
Криптографические алгоритмы NTLM сегодня считаются слабыми: он опирается на устаревшие хеш-функции и не обеспечивает современный уровень защиты от атак по перехвату и повторному использованию учетных данных. Отсутствие полноценной взаимной аутентификации и механизмов привязки сессий делает NTLM удобной мишенью для злоумышленников внутри корпоративной сети.
NTLM relay: от одного компромисса к захвату домена
Классический сценарий злоупотребления NTLM — NTLM relay-атаки. Злоумышленник заставляет скомпрометированное устройство аутентифицироваться на подконтрольном ему сервере, «ретранслируя» NTLM-учетные данные к другим сервисам в домене. Это позволяет повысить привилегии и в ряде случаев приводит к полному захвату доменной инфраструктуры.
Такие атаки лежат в основе множества практических эксплойтов и техник, включая широко обсуждаемые PetitPotam, ShadowCoerce, RemotePotato0 и другие. Их эффективность во многом обусловлена тем, что NTLM до сих пор активно используется на серверах Windows, особенно в наследованных системах и приложениях, не поддерживающих Kerberos.
Pass-the-hash: кража NTLM-хешей и незаметное продвижение по сети
Еще один популярный вектор атак на NTLM — техника pass-the-hash. В этом случае злоумышленник получает NTLM-хеши паролей (через эксплуатацию уязвимостей, вредоносное ПО или инструменты постэксплуатации) и использует их напрямую для аутентификации без знания исходного пароля.
Поскольку NTLM допускает аутентификацию по хешу, скомпрометированный хеш фактически эквивалентен компрометации пароля. Это дает атакующим возможность незаметно перемещаться по сети, обращаться к файловым ресурсам, серверам приложений и другим критичным системам, маскируясь под легитимного пользователя.
Пошаговый план Microsoft по отказу от NTLM
Отключение NTLM по умолчанию — часть более широкой стратегии Microsoft по переходу к беспарольной, устойчивой к фишингу аутентификации. Чтобы минимизировать риски сбоев для существующей инфраструктуры, компания анонсировала поэтапный план перехода.
Этап 1: аудит использования NTLM в Windows 11 24H2 и Windows Server 2025
Первый этап реализуется в Windows 11 24H2 и Windows Server 2025. Администраторы получают расширенные инструменты аудита NTLM, позволяющие точно определить, какие приложения, сервисы и устройства продолжают использовать этот протокол.
Корректно настроенный аудит — ключ к безопасной миграции: перед отключением NTLM организация должна четко понимать, какие бизнес-процессы зависят от него, и какие из них необходимо модернизировать или заменить.
Этап 2: IAKerb и Local KDC как замена типичным NTLM-сценариям
Во второй половине 2026 года Microsoft планирует внедрить новые механизмы, устраняющие основные причины отката на NTLM. Среди них — поддержка IAKerb и Local Key Distribution Center (Local KDC).
IAKerb позволяет приложениям использовать Kerberos даже при ограниченном доступе к контроллеру домена, а Local KDC предоставляет локальный центр распределения ключей для сценариев, где ранее применялся NTLM. Это должно закрыть значительную часть «легаси»-кейсів, в которых организациям приходилось держать NTLM включенным.
Этап 3: отключение NTLM по умолчанию с возможностью ручного включения
На заключительном этапе в будущих релизах Windows и Windows Server NTLM будет отключен по умолчанию. Важно, что протокол не исчезнет полностью из системы: его можно будет при необходимости включить через групповые политики для строго определенных сценариев.
Как подчеркивает Microsoft, цель — поставлять ОС в по умолчанию безопасной конфигурации, где сетевая NTLM-аутентификация заблокирована, а приоритет отдается Kerberos и другим современным, более защищенным методам аутентификации. Легаси-сценарии предполагается обслуживать за счет новых возможностей, таких как Local KDC и IAKerb.
Что это значит для компаний и администраторов безопасности
Для организаций решение Microsoft — сигнал к действию. Разработчикам настоятельно рекомендуется переводить приложения с NTLM на Kerberos или Negotiate-аутентификацию, а ИТ- и ИБ-подразделениям — уже сейчас планировать поэтапный отказ от NTLM во внутренних политиках безопасности.
Практические шаги включают: инвентаризацию всех сервисов, использующих NTLM; обновление или замену легаси-приложений; ужесточение настроек Active Directory (включая защиту от NTLM relay при помощи Active Directory Certificate Services); а также обучение администраторов и аналитиков SOC методам выявления атак NTLM relay и pass-the-hash.
Переход от NTLM к Kerberos и современным беспарольным технологиям аутентификации — неизбежный этап эволюции безопасности Windows-инфраструктур. Компании, которые начнут аудит и миграцию уже сейчас, снизят риск успешных атак, укрепят защиту критичных данных и избежат авральных работ, когда NTLM окончательно перестанет быть «безопасным по умолчанию» выбором в корпоративных сетях.
