Microsoft оголосила про радикальну зміну в моделі аутентифікації Windows: у майбутніх версіях клієнтських і серверних ОС протокол NTLM (New Technology LAN Manager) буде вимкнений за замовчуванням. Це рішення напряму зачіпає корпоративні мережі по всьому світу і є відповіддю на багаторічну історію вразливостей NTLM та його активне використання в сучасних кібератаках.
Чому NTLM стає спадком: технічні та безпекові причини
NTLM з’явився ще у 1993 році разом з Windows NT 3.1 як заміна LAN Manager і десятиліттями залишався базовим механізмом автентифікації у Windows-середовищі. Починаючи з Windows 2000, Kerberos став стандартом для доменних пристроїв, однак NTLM продовжував виконувати роль резервного протоколу, коли Kerberos недоступний (відсутній зв’язок з контролером домену, ізольовані сегменти мережі, легасі-додатки тощо).
З погляду сучасної криптографії NTLM вважається слабким. Він використовує застарілі хеш-функції, не забезпечує повноцінну взаємну автентифікацію клієнта і сервера та не має надійних механізмів прив’язки сесії. У результаті перехоплення, повторне використання та ретрансляція облікових даних стають порівняно простими для зловмисника, який уже має доступ усередині корпоративної мережі.
NTLM relay: від локального інциденту до захоплення домену
Один з ключових векторів зловживання NTLM — це NTLM relay-атаки. Суть підходу полягає в тому, що атакувальний вузол змушує компрометований клієнт автентифікуватися на контрольованому зловмисником сервісі, після чого отримані NTLM-креденшели «ретранслюються» до легітимних сервісів у домені.
Якщо цільовий сервіс довіряє таким запитам, це дозволяє підвищувати привілеї, створювати нові облікові записи або змінювати налаштування безпеки. Багато практичних технік, добре задокументованих у спільноті кібербезпеки, ґрунтуються саме на NTLM relay: PetitPotam, ShadowCoerce, RemotePotato0 та інші. Їх успіх зумовлений тим, що NTLM досі широко використовується на серверах Windows, особливо в легасі-системах і додатках без підтримки Kerberos.
Pass-the-hash: коли NTLM-хеш дорівнює паролю
Ще один поширений сценарій атак — техніка pass-the-hash, добре описана в рамках MITRE ATT&CK. Зловмисник отримує NTLM-хеші паролів (через вразливості, шкідливе ПЗ або інструменти постексплуатації) і використовує їх без знання самого пароля.
Оскільки NTLM допускає автентифікацію за хешем, компрометація хеша фактично еквівалентна викраденню пароля. Це відкриває можливість «тихого» латерального руху мережею: доступ до файлових шарів, серверів застосунків і критичних систем під виглядом легітимних користувачів та адміністраторів.
Покроковий план Microsoft з відмови від NTLM
Вимкнення NTLM за замовчуванням є частиною ширшої стратегії Microsoft з переходу до безпарольної, стійкої до фішингу аутентифікації (FIDO2, Windows Hello for Business, сучасні токени безпеки). Щоб мінімізувати ризики для існуючої інфраструктури, компанія реалізує поступовий, поетапний перехід.
Етап 1: аудит використання NTLM у Windows 11 24H2 та Windows Server 2025
У релізах Windows 11 24H2 та Windows Server 2025 адміністратори отримують розширені засоби аудиту NTLM. Вони дозволяють детально фіксувати, які додатки, служби та пристрої продовжують використовувати цей протокол, і в яких сценаріях це відбувається.
Коректно налаштований аудит — критична передумова безпечної міграції. Перед тим як вимикати NTLM, організації мають чітко розуміти, які бізнес-процеси від нього залежать, і запланувати оновлення, заміну або рефакторинг таких сервісів.
Етап 2: IAKerb та Local KDC як альтернатива типовим NTLM-кейсам
У другій половині 2026 року Microsoft планує впровадити механізми, що усувають головні причини відкату до NTLM. Ключові інструменти — IAKerb (Initial and Pass Through Authentication Using Kerberos) та Local Key Distribution Center (Local KDC).
IAKerb дозволяє використовувати Kerberos навіть за обмеженого доступу до контролера домену, прокладаючи захищений канал до KDC через проміжний сервіс. Local KDC надає локальний центр розподілу ключів для ізольованих або спеціалізованих сценаріїв, де раніше залишався тільки NTLM. Таким чином, значна частина легасі-сценаріїв зможе перейти на Kerberos або Negotiate-аутентифікацію без необхідності тримати NTLM увімкненим глобально.
Етап 3: вимкнення NTLM за замовчуванням із можливістю ручного ввімкнення
На фінальному етапі в майбутніх релізах Windows та Windows Server NTLM буде вимкнений за замовчуванням. Протокол не зникне повністю з системи, але його використання стане свідомим рішенням адміністратора: його можна буде ввімкнути через групові політики для чітко визначених випадків.
Позиція Microsoft очевидна: операційна система має постачатися в «secure by default» конфігурації, де мережева NTLM-аутентифікація заблокована, а пріоритет віддається Kerberos та іншим сучасним, стійким до фішингу методам. Підтримка легасі передбачається переважно за рахунок Local KDC, IAKerb та модернізації додатків.
Наслідки для бізнесу та рекомендації з кібербезпеки
Для компаній анонсовані зміни — чіткий сигнал починати підготовку вже зараз. Розробникам слід поетапно переводити додатки з NTLM на Kerberos або Negotiate, а ІТ- та ІБ-командам — вбудувати відмову від NTLM у дорожню карту розвитку інфраструктури.
На практиці доцільно виконати такі кроки: провести інвентаризацію всіх сервісів, що використовують NTLM; спланувати оновлення або заміну легасі-систем; посилити налаштування Active Directory (включно з протидією NTLM relay через AD CS, Extended Protection for Authentication, підписування SMB-трафіку та поетапне вимкнення NTLM, де це можливо); а також навчити адміністраторів і аналітиків SOC виявляти ознаки атак NTLM relay і pass-the-hash.
Поступовий перехід від NTLM до Kerberos та безпарольних технологій автентифікації є неминучим етапом еволюції безпеки Windows-інфраструктур. Організації, які вже сьогодні запустять аудит, інвентаризацію та план міграції, знизять ризик успішних атак, посилять захист критичних даних і уникнуть авральних оновлень, коли NTLM остаточно перестане бути «варіантом за замовчуванням» у корпоративних мережах. Саме зараз доцільно закласти відмову від NTLM у стратегію кіберстійкості на найближчі 2–3 роки.
