Active Directory & Authentifizierung
NTLM wird abgeschaltet: Microsofts 3-Phasen-Plan und was Admins jetzt tun müssen
Lesezeit: ca. 7 Minuten • März 2026
Nach über 30 Jahren verabschiedet sich Microsoft von NTLM. Das Legacy-Authentifizierungsprotokoll, das seit Windows NT 3.1 (1993) als Fallback dient, wird in der nächsten großen Windows-Server-Version standardmäßig deaktiviert. Wer sich nicht vorbereitet, riskiert Authentifizierungsfehler in der gesamten Infrastruktur.
⚠ Deadline NTLMv1: Im Oktober 2026 setzt Microsoft den Registry-Wert BlockNTLMv1SSO standardmäßig auf Enforce (1). Systeme, die noch NTLMv1 für Single Sign-On nutzen (z.B. Wi-Fi, VPN mit MS-CHAPv2), werden dann blockiert.
“NTLM-Abschaltung 2026: Sehen Sie, was kommt — handeln Sie, bevor es knallt.”
Der NTLM Audit Analyzer – “Wissen was NTLM nutzt — bevor Microsoft es abschaltet.”
Warum NTLM weg muss
NTLM war jahrzehntelang der stille Fallback, wenn Kerberos nicht greifen konnte — DNS kaputt, Uhren nicht synchron, Legacy-Applikation? NTLM hat funktioniert. Doch genau diese Toleranz macht es zum Sicherheitsrisiko:
Angreifer nutzen gestohlene NTLM-Hashes direkt zur Authentifizierung — ohne das Passwort zu kennen
NTLM-Authentifizierungsanfragen werden an andere Server weitergeleitet — Man-in-the-Middle
MD4/MD5-basierte Hashes sind mit modernen GPUs in Stunden bis Minuten knackbar
NTLM bietet kaum Audit-Daten — Angriffe bleiben unerkannt
Der 3-Phasen-Plan im Detail
Phase 1: Erweitertes Auditing (Jetzt — verfügbar)
Windows 11 24H2 und Windows Server 2025 bieten bereits erweiterte NTLM-Audit-Tools. Drei neue Gruppenrichtlinien sind in der Security Baseline 2602 enthalten:
- Restrict NTLM: Audit Incoming NTLM Traffic — protokolliert eingehende NTLM-Anfragen
- Restrict NTLM: Audit NTLM authentication in this domain — loggt Pass-Through-Anfragen auf DCs
- Restrict NTLM: Outgoing NTLM traffic to remote servers — überwacht ausgehenden NTLM-Traffic
Phase 2: Kerberos-Alternativen (H2 2026)
In der zweiten Jahreshälfte 2026 liefert Microsoft die Technologien, die NTLM-Fallback-Szenarien eliminieren sollen:
- IAKerb (Initial and Pass-Through Authentication Using Kerberos) — Kerberos-Auth ohne direkte DC-Verbindung
- Local KDC (Pre-Release) — lokale Kerberos-Authentifizierung ohne NTLM-Fallback
- Windows-Kernkomponenten werden aktualisiert, um Kerberos zuerst zu verhandeln
Phase 3: NTLM standardmäßig deaktiviert (nächste Windows-Server-Version)
In der nächsten großen Windows-Server-Version wird Netzwerk-NTLM per Default blockiert. NTLM bleibt im OS enthalten, muss aber über neue Policy Controls explizit reaktiviert werden. Gleichzeitig werden Built-in-Lösungen für NTLM-Only-Szenarien bereitgestellt (unbekannte SPNs, IP-basierte Authentifizierung, lokale Konten auf domänengebundenen Maschinen).
💡 Klarstellung von Microsoft: „NTLM standardmäßig deaktivieren bedeutet nicht, NTLM komplett aus Windows zu entfernen. Windows wird in einem Secure-by-Default-Zustand ausgeliefert, in dem Netzwerk-NTLM blockiert und nicht mehr automatisch verwendet wird.“
Was Administratoren jetzt tun sollten
✔️ NTLM-Auditing aktivieren — die drei oben genannten Policies auf allen DCs und Member-Servern einschalten, um NTLM-Nutzung sichtbar zu machen
✔️ Abhängigkeiten identifizieren — Event IDs 4776 und 4624 auswerten, um Applikationen und Dienste zu finden, die noch NTLM nutzen
✔️ Kerberos-Migration planen — Anwendungsentwickler kontaktieren, Legacy-Systeme prüfen, Geräte mit Firmware-Limitierungen dokumentieren
✔️ NTLM-Off testen — in Nicht-Produktionsumgebungen NTLM deaktivieren und kritische Workflows validieren
✔️ SMB NTLM Blocking — Windows Server 2025 bietet bereits Disable-SmbClientNtlmAuth für ausgehende SMB-Verbindungen
Timeline auf einen Blick
| Zeitraum | Maßnahme |
|---|---|
| Jetzt verfügbar | Erweitertes NTLM-Auditing in Windows 11 24H2 & Server 2025 |
| April 2026 | Kerberos RC4-Enforcement auf allen DCs (CVE-2026-20833) |
| H2 2026 | IAKerb & Local KDC, Windows-Kernkomponenten priorisieren Kerberos |
| Oktober 2026 | NTLMv1 SSO-Blocking wird per Default enforced |
| Nächste Server-Version | Netzwerk-NTLM standardmäßig deaktiviert |
Fazit
Die NTLM-Abschaltung ist keine ferne Zukunftsmusik — die Deadlines stehen fest und die ersten Enforcement-Phasen greifen bereits in wenigen Wochen. Der erste Schritt ist Sichtbarkeit: Wo wird NTLM in Ihrer Umgebung noch verwendet? Mit dem NTLM Audit Analyzer ist das kein Problem.
NTLM wird abgeschaltet: Microsofts 3-Phasen-Plan und was Admins jetzt tun müssen
Microsoft schaltet NTLM ab. Nicht irgendwann, sondern jetzt — in drei klar definierten Phasen zwischen Januar 2026 und der nächsten Windows-Server-Version. Gleichzeitig wird RC4-Kerberos (CVE-2026-20833) ab April 2026 blockiert. Der NTLM Audit Analyzer unterstützt bevor es knallt.
Für IT-Administratoren bedeutet das: Wer nicht weiß, welche Systeme, Konten und Applikationen noch NTLM oder RC4 nutzen, riskiert Ausfälle — von VPN-Authentifizierung über Legacy-Applikationen bis hin zu Service-Accounts.
