Welche Systeme sind von NTLM Deprecation betroffen?

Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2025 RTM, Windows 10, Windows 11 24H2

NTLM Deprecation

NTLMv1 in Windows 11 24H2 deaktiviert und in Server 2025 entfernt. NTLMv2-Abschaltung für zukünftige Windows-Versionen angekündigt.

KritischAktivNTLM

Phasen-Verlauf

Oktober 2023

Deprecation angekündigt

Microsoft kündigt offizielle NTLM-Deprecation für zukünftige Windows-Versionen an.

Oktober 2024

NTLMv1 deaktiviert

Windows 11 24H2: NTLMv1 standardmäßig deaktiviert. Neues GPO BlockNTLMv1SSO verfügbar.

November 2024

NTLMv1 entferntErzwungen

Windows Server 2025: NTLMv1 vollständig aus dem Server-Code entfernt.

Oktober 2026

BlockNTLMv1SSO Standard

BlockNTLMv1SSO Registry-Key standardmäßig aktiviert.

~2027+

NTLMv2 Abschaltung

Geplante vollständige Entfernung von NTLMv2. Kein festes Datum von Microsoft.

Betroffene Systeme

Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows Server 2025 RTM
Windows 10
Windows 11 24H2

Betroffene Features

NTLM-Authentifizierung
NTLMv1
NTLMv2
SSO

Was passiert ohne Maßnahme

Anwendungen und Geräte mit NTLMv1 verlieren sofort die Authentifizierung. Ältere Netzwerkgeräte (Drucker, NAS, Scanner) ohne NTLMv2-Unterstützung funktionieren nicht mehr. RDP von nicht-domänenverbundenen Maschinen kann betroffen sein.

Empfohlene Maßnahme

NTLM-Audit aktivieren (Event-ID 4624 Logon Type). Alle Anwendungen und Geräte identifizieren, die NTLMv1 verwenden. Migration zu Kerberos oder Negotiate planen.

Registry-Schlüssel

HKLM\SYSTEM\CurrentControlSet\Control\Lsa

LmCompatibilityLevel

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0

RestrictSendingNTLMTraffic

BlockNTLMv1SSO

Gruppenrichtlinien

Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options

Network security: LAN Manager authentication level

Network security: Restrict NTLM: Audit Incoming NTLM Traffic

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

Event-IDs zur Überwachung

4776

Security

NTLM-Credential-Validierung auf dem Domänencontroller

8001

Microsoft-Windows-NTLM/Operational

Eingehender NTLM-Datenverkehr auf dem Server

8002

Microsoft-Windows-NTLM/Operational

Ausgehende NTLM-Authentifizierungsversuche vom Client

8004

Microsoft-Windows-NTLM/Operational

NTLM-Authentifizierung auf dem Domänencontroller

Ausführlicher Artikel verfügbar

Detaillierte Analyse, Schritt-für-Schritt-Anleitung und Praxistipps in unserem Blog.

→Zurück zur Security Timeline