Gerelateerde artikelen
Microsoft voert een van de grootste beveiligingswijzigingen in jaren door: het verouderde NTLM authenticatieprotocol zal stapsgewijs uitgefaseerd en uiteindelijk standaard uitgeschakeld worden in toekomstige Windows‑versies.
De maatregel moet organisaties wereldwijd, dus ook in Nederland, dwingen over te stappen op modernere, veiligere Kerberos‑gebaseerde authenticatie.
Microsoft zet NTLM definitief op het zijspoor
Het NT LAN Manager‑protocol of NTLM is al meer dan dertig jaar onderdeel van Windows‑authenticatie. Het was echter ooit ontworpen voor een tijdperk waarin netwerken simpeler waren en cyberdreigingen minder geavanceerd. Inmiddels is NTLM een risicofactor: het biedt geen serverauthenticatie, gebruikt zwakke cryptografie en is gevoelig voor aanvallen zoals replay‑, relay‑ en pass‑the‑has.
Microsoft kondigde eerder al aan dat NTLM deprecated was, maar nu volgt de volgende stap: het protocol t in fases standaard uitschekalen in Windows. De officiële roadmap staat beschreven in een uitgebreide blogpost van het Windows IT Pro‑team van Microsoft.
Waarom NTLM moet verdwijnen
Volgens Microsoft blijft NTLM vooral bestaan in omgevingen waar Kerberos niet werkt door legacy‑software, netwerkbeperkingen of hardcoded afhankelijkheden. Dat maakt organisaties kwetsbaar. NTLM blijft bovendien vaak ongemerkt actief als fallback‑mechanisme wanneer Kerberos niet beschikbaar is.
De risico’s die Microsoft noemt:
- Geen serverauthenticatie;
- Kwetsbaar voor relay‑ en pass‑the‑hash‑aanvallen;
- Zwakke cryptografie;
- Beperkte audit‑ en diagnosetools, tot voor kort.
De drie fasen van Microsofts uitfasering
Microsoft kiest tevens voor een gefaseerde aanpak om organisaties voldoende tijd te geven hun infrastructuur aan te passen.
Belangrijk: De tijdlijnen en beschikbaarheid van functies die in dit bericht worden beschreven, kunnen veranderen naarmate de technische planningen zich ontwikkelen.
Fase 1 – Inzicht en controle, nu beschikbaar
- Uitgebreide NTLM‑auditing in Windows Server 2025 en Windows 11 24H2.
- Organisaties kunnen precies zien waar men NTLM nog gebruikt.
Fase 2 – Oplossen van de grootste blokkades tweede helft 2026
Microsoft pakt tevens de belangrijkste redenen aan waarom NTLM nog steeds nodig is:
- Geen verbinding met domain controller → IAKerb en een lokaal Key Distribution Center of KDC maken Kerberos mogelijk zonder directe DC‑connectiviteit.
- Lokale accounts → Lokale KDC voorkomt NTLM‑fallback.
- Hardcoded NTLM‑gebruik → Windows‑componenten worden aangepast om eerst Kerberos te onderhandelen.
Fase 3 – NTLM standaard uitgeschakeld volgende grote Windows‑release
- Netwerk‑NTLM wordt standaard geblokkeerd.
- NTLM kan echter alleen nog handmatig worden ingeschakeld via nieuwe beleidsinstellingen.
- Windows bevat fallback‑mechanismen om applicatiebreuk te minimaliseren, zoals in: onbekende SPN’s, IP‑authenticatie, lokale accounts.
Belangrijk: NTLM wordt nog niet volledig verwijderd, maar Windows wordt voortaan “secure‑by‑default” geleverd.
Wat betekent dit voor organisaties?
Voor veel bedrijven, zeker met oudere applicatie, wordt dit een ingrijpende verandering. Microsoft benadrukt dat organisaties nu al moeten beginnen met migreren.
Aanbevolen stappen:
- Activeer NTLM‑auditing om afhankelijkheden in kaart te brengen.
- Inventariseer applicaties die NTLM vereisen en neem contact op met leveranciers.
- Test Kerberos‑authenticatie in niet‑productieomgevingen.
- Bereid u voor op NTLM‑uit door Kerberos‑upgrades te testen via Windows Insider‑builds.
Microsoft zal vervolgens vanaf de tweede helft van 2026 Windows‑componenten aanpassen om Kerberos te forceren en dat NTLM in toekomstige Windows Server‑versies standaard uitstaat.
Een stap richting een wachtwoord loze toekomst
Microsoft ziet het uitschakelen van NTLM als onderdeel van een bredere beweging richting:
- phishing‑resistente authenticatie;
- passwordless‑technologieën;
- zero‑trust‑architecturen.
Door NTLM te verwijderen, wordt Kerberos de enige moderne standaard binnen Windows‑omgevingen. Dat maakt het ecosysteem veiliger en consistenter.
Conclusie
De uitfasering van NTLM is een mijlpaal in de evolutie van Windows‑beveiliging. Voor organisaties betekent dit dat zij hun infrastructuur, applicaties en authenticatieprocessen grondig moeten herzien. De overgang zal tijd kosten, maar Microsoft biedt een duidelijke roadmap en nieuwe tools om de migratie beheersbaar te maken.
