A Microsoft anunciou uma estratégia em três etapas para eliminar gradualmente o uso do New Technology LAN Manager (NTLM), como parte da migração dos ambientes Windows para opções mais seguras baseadas no protocolo Kerberos.
A iniciativa ocorre mais de dois anos após a empresa revelar seu plano de descontinuação do NTLM, apontando vulnerabilidades que podem facilitar ataques de relay e permitir acessos não autorizados a recursos de rede.
Oficialmente, o protocolo foi descontinuado em junho de 2024 e, desde então, não recebe mais atualizações.
“NTLM é um conjunto de protocolos de segurança originalmente criado para oferecer autenticação, integridade e confidencialidade aos usuários”, explicou Mariam Gewida, Technical Program Manager II na Microsoft.
“No entanto, com a evolução das ameaças, nossos padrões também precisaram avançar.
Atualmente, o NTLM está vulnerável a diversos tipos de ataque, como replay e man-in-the-middle, devido à criptografia fraca utilizada.”
Apesar da descontinuação, a Microsoft reconhece que o NTLM ainda é amplamente utilizado em ambientes corporativos, sobretudo em situações onde protocolos modernos, como Kerberos, não podem ser adotados devido a dependências legadas, limitações de rede ou configurações específicas de aplicações.
Esse cenário mantém as organizações expostas a riscos, incluindo ataques de replay, relay e pass-the-hash.
Para enfrentar esses desafios, a empresa definiu uma estratégia em três fases, com o objetivo de desabilitar o NTLM por padrão:
Fase 1: aumentar a visibilidade e o controle por meio de auditorias aprimoradas do NTLM, possibilitando melhor compreensão de onde e por que o protocolo ainda é usado (disponível atualmente).
Fase 2: superar obstáculos comuns na migração do NTLM com recursos como IAKerb e Key Distribution Center (KDC) local, ainda em pré-lançamento, além de atualizar componentes principais do Windows para priorizar a autenticação via Kerberos (previsto para o segundo semestre de 2026).
Fase 3: desabilitar o NTLM nas próximas versões do Windows Server e Windows cliente, exigindo ativação explícita por meio de novas políticas de segurança.
A transição é vista como um passo importante rumo a um futuro passwordless e resistente a phishing.
Para isso, organizações que dependem do NTLM devem realizar auditorias, mapear dependências, migrar para Kerberos, testar configurações sem NTLM em ambientes de testes e habilitar as atualizações associadas ao Kerberos.
“Desabilitar o NTLM por padrão não significa removê-lo completamente do Windows neste momento”, ressaltou Gewida.
“Significa que o sistema será entregue em um estado seguro por padrão, bloqueando a autenticação NTLM na rede e evitando seu uso automático.”
“O sistema operacional priorizará alternativas modernas baseadas em Kerberos.
Ao mesmo tempo, cenários legados comuns serão atendidos por recursos futuros como o Local KDC e o IAKerb (em pré-lançamento).”
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...