Microsoft beendet 2026 die langjährige Fallback-Rolle von NTLM in Windows-Domänen. In drei Phasen reduziert der Hersteller zunächst die Abhängigkeiten, schafft technische Alternativen und deaktiviert das Protokoll im nächsten großen Windows-Server-Release standardmäßig. Kerberos bildet damit die alleinige Authentifizierungsbasis.
Das Authentifizierungsverfahren NT LAN Manager basiert auf einem Challenge-Response-Verfahren ohne gegenseitige Authentifizierung.
(Bild: Midjourney / KI-generiert)
Authentifizierung bildet das Fundament jeder Windows-Domäne. Über Jahrzehnte begleitet NTLM (NT LAN Manager) diesen Prozess als fester Bestandteil des Protokollstacks. Mit der schrittweisen Abschaltung endet eine Ära, die technisch längst von Kerberos abgelöst ist, in vielen Infrastrukturen jedoch weiterhin fortwirkt.
Sicherheitsdefizite eines Legacy-Protokolls
NTLM basiert auf einem Challenge-Response-Verfahren ohne gegenseitige Authentifizierung. Ein Client überprüft nicht zuverlässig, ob der angefragte Dienst legitim agiert. Angreifer nutzen diese Eigenschaft für NTLM-Relay-Szenarien, indem sie Authentifizierungsdaten an andere Systeme weiterreichen. Hinzu kommen kryptografische Verfahren, die aktuellen Anforderungen nicht mehr entsprechen, sowie eingeschränkte Protokollierungs- und Analyseoptionen. In komplexen Active-Directory-Umgebungen erschwert das eine saubere Nachvollziehbarkeit von Authentifizierungsflüssen.
Kerberos arbeitet dagegen ticketbasiert. Ein Key Distribution Center auf dem Domänencontroller stellt zeitlich begrenzte Tickets aus und erzwingt gegenseitige Authentifizierung zwischen Client und Dienst. Das reduziert die Angriffsfläche deutlich und verbessert die Transparenz in Security-Logs. Windows priorisiert Kerberos seit Jahren; NTLM bleibt jedoch als Fallback für Altanwendungen, lokale Konten oder spezielle Netzwerkszenarien aktiv.
Drei Phasen für den vollständigen Rückzug
Microsoft strukturiert den Ausstieg klar. In der ersten Phase erweitert das Unternehmen die Audit-Funktionen. Windows Server 2025 und Windows 11 ab Version 24H2 erfassen detailliert, an welchen Stellen NTLM noch genutzt wird. Administratoren identifizieren damit gezielt Dienste, Anwendungen oder Systeme mit verbleibender Abhängigkeit. Die erweiterten Ereignisprotokolle liefern eine belastbare Datengrundlage für Migrationsprojekte.
Die zweite Phase startet in der zweiten Jahreshälfte 2026. Microsoft integriert technische Neuerungen, die bisherige Gründe für einen NTLM-Fallback eliminieren. IAKerb erweitert Kerberos für Szenarien, in denen bislang NTLM einspringt. Zusätzlich implementiert das System ein lokales Key-Distribution-Center, das Authentifizierungen lokaler Accounts verarbeitet, ohne NTLM zu verwenden. Windows-Kernkomponenten greifen vorrangig auf Kerberos zurück und initiieren keinen automatischen Wechsel mehr auf NTLM, sobald ein Domänencontroller temporär nicht erreichbar ist.
Standarddeaktivierung im nächsten Server-Release
In der dritten Phase deaktiviert das nächste große Windows-Server-Release NTLM standardmäßig. Eine Reaktivierung bleibt über Gruppenrichtlinien oder Sicherheitsrichtlinien möglich, erfolgt jedoch nur explizit. Ohne entsprechende Anpassung akzeptiert das Betriebssystem keine NTLM-Authentifizierung mehr und erzwingt Kerberos-basierte Verfahren.
Für Organisationen bedeutet das eine konsequente Überprüfung aller Authentifizierungsflüsse. Domänen, Vertrauensstellungen, Dienstkonten und Altanwendungen müssen Kerberos vollständig unterstützen. Die in Windows Server 2025 integrierten Audit-Mechanismen bieten dafür den technischen Ausgangspunkt. Mit der Default-Deaktivierung entfällt ein langjähriger Angriffsvektor aus der Standardkonfiguration moderner Windows-Umgebungen.
Aktuelles eBook
Ransomware-Schutz durch Object Lock und WORM
eBook „Ransomware-Schutz“
(Bild: Storage-Insider)
Um ein Storage-System effektiv von Ransomware-Angriffen zu schützen, bieten sich neben Backup/Disaster Recovery und Verschlüsselung vor allem Object Lock und WORM an. Das gelingt nicht nur im eigenen Haus, sondern auch in der Hybrid-Cloud.
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/b5/ad/b5ade2e50671d986cabb091cc33de39f/0127234511v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2d/69/2d69b27f3f8f5f290f7ae2b3d9123b1b/0127206601v1.jpeg "Storage-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d28e3faac411c22b54d80ea354d2e3/0124559320v1.jpeg "Die digitale Souveränität Europas ist spätestens seit der Wiederwahl von Donald aktueller denn je. (Bild: erstellt durch iTernity GmbH mit Canva)")
:quality(80)/p7i.vogel.de/wcms/ca/b3/cab330ef06324344f47f1715af71ffb8/0121296602v1.jpeg "Das sind die Gewinner der Storage-Insider Readers' Choice Awards 2024. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/07/4b/074b768fc6cd441f6ffe5f37ef28e9f0/0129260086v1.jpeg "Ein Dual-NAS-Cluster soll Hochverfügbarkeit auch ohne Enterprise-Storage-System gewährleisten. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8e/65/8e65beda5e1799415f8b42648c345ac2/0128829864v1.jpeg "Mansoor Tariq, Technical Presales bei QNAP DACH. Der Hersteller erweitert Airgap+ auf ausgewählte Switch-Modelle und bringt physisch isolierte Backup-Strecken direkt in die Netzwerkinfrastruktur. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/87/b0/87b06b798102aa4b9947e5702459b72c/0127725341v1.jpeg "Mit Bareos lassen sich Daten in virtualisierten Umgebungen sichern. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/f2/ccf2ca3c61ebd1f543ddfdeafdc371d8/0129532315v1.jpeg "Die CBL-Datenretter isolierten die Speicherchips aus den korrodierten Karten und stellten nach eigenen Angaben sämtliche bis zum Geräteausfall aufgezeichneten Messwerte wieder her. (Bild: CBL Datenrettung)")
:quality(80)/p7i.vogel.de/wcms/7e/62/7e6241a450fc3d2c4fb4b66431bb346a/0129449658v1.jpeg "IBM stattet seine FlashSystem-Modelle 5600, 7600 und 9600 mit KI-Agenten aus. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/eb/2beb093a4b15a43e77a5fddc51617012/0129334977v1.jpeg "Der Remote Dictionary Server ist ein quelloffener Datenspeicher mit einer einfachen Schlüssel-Werte-Datenstruktur und legt die Daten direkt im Arbeitsspeicher ab. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f7/81/f781424a8c09c2958f530e353259f552/0129570093v1.jpeg "Bei Windows 11 benötigt man zur Verwaltung des Speichers nun Administratorrechte. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/69/24/6924ee13482bf6c15da7ee7ea1150ae3/0128919402v1.jpeg "Box Extract wandelt unstrukturierte Unternehmensdokumente per KI in strukturierte Metadaten um und automatisiert Workflows, Suche und Analysen in Unternehmen. (Bild: Box)")
:quality(80)/p7i.vogel.de/wcms/ae/33/ae338789aff1d1f96a948ed70c45f8f2/0129566793v1.jpeg "Das Authentifizierungsverfahren NT LAN Manager basiert auf einem Challenge-Response-Verfahren ohne gegenseitige Authentifizierung. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ff/6d/ff6d1afe1f2b3a896699b545f4f74abb/0129409341v1.jpeg "QNAP-Kunden können ab sofort mit einem Abonnement zwei Cloud-Dienste nutzen. (Bild: QNAP)")
:quality(80)/p7i.vogel.de/wcms/51/96/51965391328bb2fd4e6e616ebcaa486d/0129531873v1.jpeg "Commvault-CPO Rajiv Kottomtharayil: „Unternehmen müssen Cyberangriffen, die zunehmend auf Backup-Umgebungen abzielen, einen Schritt voraus sein.“ (Bild: Commvault)")
:quality(80)/p7i.vogel.de/wcms/e4/83/e48315c7b4fd3a018ed443683a58b4b1/0128408290v1.jpeg "Viele IT-Leiter müssen sich mit den versteckten Risiken der SaaS-Datenaufbewahrungsrichtlinien auseinandersetzen. (Bild: © Esfandjar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/34/04/340462e2780b44a425ef8b592e9f6fa6/0129136839v1.jpeg "Im Gastbeitrag fasst Federica Monsone die Meinung von Expertinnen und Experten aus unterschiedlichen Storage-Unternehmen zu Entwicklungen im Bereich Langzeitarchivierung zusammen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b2/5e/b25e7987732ebb16ed51a2e7f1ede807/0129670176v1.jpeg "Pure Storage (oder schlicht „Pure“) stand für reinen Flash-Speicher. Everpure richtet den Fokus nun auf ganzheitliches Datenmanagement. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1b/7f/1b7fbe21d96ecca26e39c0eba3a1c3d7/0129345051v1.jpeg "Scheitern ist keine Option – weder bei der Apollo-13-Mission noch beim Datenschutz und der Datensouveränität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/6b/a9/6ba9c6f5061f2ca1a5c560aa5022e7c8/0128406574v1.jpeg "Im Düsseldorfer HDD Innovation Lab von Toshiba. Das Lab hat sich zum Testen das JBoD-System VTrak J5960 von Promise Technology vorgenommen. (Bild: Toshiba Electronics Europe)")
:quality(80)/p7i.vogel.de/wcms/d8/7c/d87c0895a1fd1e2a8eea97f2e6525844/0129222145v1.jpeg "RAID 10 kombiniert die RAID-Level 1 und 0. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/37/ea/37ea3b117cd6e97340697c2f7c96d3c9/0129216654v1.jpeg "Mit Bareos lassen sich Backups lizenzkostenfrei in hybriden Speicherstrukturen anfertigen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c0/44/c0444de775b44640d2a4a0d8016636a8/0129214786v1.jpeg "Das Follow-the-Sun-Prinzip ermöglicht weltweit tätigen Unternehmen eine Teamzusammenarbeit rund um die Uhr. (Bild: Midjourney / KI-generiert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/68/b9/68b9bb61e8f14/ic-logo-black-green.png "ic-logo-black-green (Impossible Cloud)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/6d/84/6d842f66e29e16fbbc6c476b34678c62/0127642915v1.jpeg "Restic erstellt Backups in On-Prem-, Cloud- oder Netzwerkspeicherstrukturen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a4/bd/a4bd3c7bfaeaf87293e6743a20ff6208/0124772822v1.jpeg "Lazesoft Data Recovery kann Windows reparieren und Daten wiederherstellen. (Bild: Joos – Lazesoft)")