Microsoft heeft aangekondigd dat het 30 jaar oude NTLM-authenticatieprotocol standaard zal uitschakelen in toekomstige Windows-versies vanwege beveiligingslekken die organisaties blootstellen aan cyberaanvallen.

NTLM, oftewel New Technology LAN Manager, is een challenge-response authenticatieprotocol geïntroduceerd in 1993 met Windows NT 3.1. Het was de opvolger van het LAN Manager-protocol. Kerberos heeft NTLM inmiddels vervangen en is nu het standaardprotocol voor apparaten die zijn gekoppeld aan een Windows-domein vanaf Windows 2000. Hoewel het in oudere Windows-versies standaard was, wordt NTLM nog steeds gebruikt als back-up wanneer Kerberos niet beschikbaar is. Het maakt echter gebruik van zwakke cryptografie en is gevoelig voor aanvallen.

Sinds de introductie is NTLM veelvuldig misbruikt in zogeheten NTLM-relay-aanvallen, waarbij bedreigingsactoren gecompromitteerde netwerkapparaten dwingen om te authentiseren tegen servers die door aanvallers worden beheerd. Dit maakt het mogelijk om privileges te escaleren en volledige controle over het Windows-domein te krijgen. Ondanks dit wordt NTLM nog steeds gebruikt op Windows-servers, waardoor aanvallers kwetsbaarheden zoals PetitPotam, ShadowCoerce, DFSCoerce en RemotePotato0 kunnen uitbuiten om NTLM-relayaanvallen te omzeilen.

NTLM is ook het doelwit van pass-the-hash-aanvallen, waarbij cybercriminelen systeemkwetsbaarheden uitbuiten of kwaadaardige software inzetten om NTLM-hashes (wachtwoordhashes) te stelen. Met deze hashes kunnen aanvallers zich als de gecompromitteerde gebruiker authenticeren, gevoelige informatie stelen, en zich lateraal over het netwerk verspreiden.

"Geblokkeerd en niet automatisch gebruikt"

Als onderdeel van een bredere strategie richting wachtwoordloze, phishing-bestendige authenticatie, kondigde Microsoft aan dat NTLM in de volgende grote Windows Server-release en bijbehorende Windows-clientversies standaard uitgeschakeld zal zijn. Hiermee maken ze een aanzienlijke verschuiving naar het veiligere Kerberos-gebaseerde authenticatie.

Microsoft heeft een overgangsplan in drie fasen bedacht om de risico’s van NTLM te verminderen en tegelijkertijd de verstoring te minimaliseren. In de eerste fase kunnen beheerders verbeterde audittools in Windows 11 24H2 en Windows Server 2025 gebruiken om te bepalen waar NTLM nog in gebruik is.

In de tweede fase, gepland voor de tweede helft van 2026, worden nieuwe functies geïntroduceerd, zoals IAKerb en een lokale sleutelverdelingscentrum, om veelvoorkomende scenario’s die NTLM-fallback activeren aan te pakken.

In de derde fase wordt netwerk-NTLM standaard uitgeschakeld in toekomstige versies, al blijft het protocol aanwezig in het besturingssysteem en kan het via beleidscontroles opnieuw worden ingeschakeld indien nodig.

"Het uitschakelen van NTLM als standaard betekent niet dat NTLM volledig uit Windows wordt verwijderd. In plaats daarvan betekent het dat Windows wordt geleverd in een ‘secure by default’ staat waarin netwerk NTLM-authenticatie wordt geblokkeerd en niet automatisch wordt gebruikt," aldus Microsoft.

"Het besturingssysteem zal de voorkeur geven aan moderne, veiligere Kerberos-gebaseerde alternatieven. Tegelijkertijd worden veelvoorkomende legacy-scenario’s aangepakt met nieuwe mogelijkheden zoals Local KDC en IAKerb (pre-release)."

In oktober 2023 kondigde Microsoft voor het eerst aan het NTLM-authenticatieprotocol te willen uitfaseren, met de bedoeling om beheersmogelijkheden uit te breiden zodat beheerders meer flexibiliteit hebben bij het monitoren en beperken van NTLM-gebruik binnen hun omgevingen.

In juli 2024 deprecieerde Microsoft officieel de NTLM-authenticatie op Windows en Windows-servers, en adviseerde ontwikkelaars over te stappen naar Kerberos of Negotiation-authenticatie om toekomstige problemen te voorkomen.

Sinds 2010 waarschuwt Microsoft ontwikkelaars al om NTLM niet meer in hun applicaties te gebruiken en raadt Windows-beheerders aan om NTLM uit te schakelen of hun servers zo in te stellen dat NTLM-relayaanvallen worden geblokkeerd met behulp van Active Directory Certificate Services (AD CS).

Benchmark je beveiligingsstrategie

Het is budgetseizoen! Meer dan 300 CISO’s en beveiligingsleiders hebben gedeeld hoe ze plannen, uitgeven en prioriteiten stellen voor het komende jaar. Dit rapport verzamelt hun inzichten, zodat lezers strategieën kunnen vergelijken, opkomende trends kunnen herkennen en hun prioriteiten kunnen afstemmen in aanloop naar 2026.

Ontdek hoe topbestuurders investeringen omzetten in meetbare impact.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.