Microsoft wyłączy NTLM domyślnie w przyszłych wydaniach Windows – co to oznacza i jak się przygotować

Wprowadzenie do problemu / definicja luki

NTLM (New Technology LAN Manager) to stary mechanizm uwierzytelniania w ekosystemie Windows, który przez lata był „kołem ratunkowym” tam, gdzie Kerberos nie działał (legacy aplikacje, brak łączności z kontrolerem domeny, użycie adresów IP zamiast nazw/SPN, lokalne konta na maszynach w domenie). Problem w tym, iż NTLM ma wbudowane ograniczenia bezpieczeństwa: nie zapewnia pełnej walidacji serwera i sprzyja klasom ataków typu relay oraz pass-the-hash, co w praktyce często przekłada się na realne przejęcia tożsamości i ruch lateralny w domenie.

W styczniu 2026 Microsoft oficjalnie ogłosił przejście „od deprecjacji do wyłączania NTLM domyślnie” w nadchodzących wydaniach Windows. Klucz: „wyłączone domyślnie” nie oznacza natychmiastowego usunięcia NTLM z systemu – chodzi o zablokowanie sieciowego NTLM jako domyślnej ścieżki uwierzytelniania i wymuszenie świadomego „opt-in”, jeżeli organizacja przez cały czas go potrzebuje.

W skrócie

• Microsoft realizuje 3-fazową ścieżkę dochodzenia do stanu, w którym network NTLM będzie wyłączony domyślnie w kolejnym dużym wydaniu Windows Server i skorelowanych wydaniach klienckich.
• Faza 1: rozszerzony auditing NTLM jest już dostępny (Windows 11 24H2, Windows Server 2025) i ma pomóc wykryć zależności.
• Faza 2 (2. połowa 2026): nowe mechanizmy ograniczające „wymuszone fallbacki” do NTLM, m.in. IAKerb i Local KDC (pre-release) oraz przebudowy komponentów, które dziś potrafią używać NTLM „na sztywno”.
• Faza 3: blokada sieciowego NTLM domyślnie, możliwość ponownego włączenia przez polityki oraz dodatkowe mechanizmy ograniczające „twarde” przypadki (np. nieznane SPN, logowanie po IP, lokalne konta na maszynach domenowych).

Kontekst / historia / powiązania

Microsoft od dłuższego czasu komunikuje, iż NTLM jest „na wygaszaniu”:

• W dokumentacji Microsoft Learn wskazano, iż wszystkie wersje NTLM (włącznie z LANMAN, NTLMv1 i NTLMv2) są zdeprecjonowane i nie są już rozwijane funkcjonalnie; rekomendacja dla programistów to przejście na Negotiate (Kerberos jako preferencja, NTLM tylko jako fallback).
• W Windows 11 24H2 i Windows Server 2025 NTLMv1 został usunięty, a Microsoft prowadzi rollout dodatkowych kontroli/audytu oraz docelowo zaostrzenia domyślnego zachowania dla scenariuszy „NTLMv1-derived”.

To ważne rozróżnienie: wyłączenie NTLM domyślnie (network NTLM) to szersza zmiana strategiczna (roadmapa), a równolegle idą bardziej szczegółowe kroki „po kawałku” (np. eliminacja NTLMv1 i twarde blokady określonych pochodnych mechanizmów).

Analiza techniczna / szczegóły luki

Dlaczego NTLM jest ryzykowny (z perspektywy 2026)

Microsoft wprost wskazuje zestaw problemów, które w praktyce tworzą „powtarzalny wzorzec incydentów” w środowiskach AD: brak silnego uwierzytelnienia serwera, podatność na replay/relay, podatność na pass-the-hash, słabsza kryptografia i historycznie słaba widoczność diagnostyczna (auditing).

Co zmienia „NTLM disabled by default”

W komunikacji Microsoft: „disabled by default” oznacza, iż Windows będzie dostarczany w stanie „secure-by-default”, w którym sieciowe NTLM jest blokowane i nie jest używane automatycznie, a system preferuje nowocześniejsze alternatywy oparte o Kerberos. NTLM przez cały czas ma pozostać w systemie w okresie przejściowym i da się go ponownie włączyć polityką, jeżeli organizacja ma uzasadnione zależności.

Dlaczego w ogóle dochodzi do fallbacku na NTLM

W praktyce NTLM „wraca” gdy:

• klient/serwer nie potrafi poprawnie dogadać Kerberosa (np. brak łączności z DC),
• aplikacja używa adresu IP zamiast nazwy (problemy z SPN),
• są lokalne konta w scenariuszach domenowych,
• komponent/aplikacja ma „hardcoded NTLM”. Microsoft zapowiada modernizacje właśnie pod te punkty (IAKerb, Local KDC, zmiany w komponentach Windows).

Praktyczne konsekwencje / ryzyko

Co może się „zepsuć”

Gdy zacznie obowiązywać faza 3 (network NTLM off by default), najszybciej zaboli tam, gdzie:

• macie legacy usługi autoryzujące po NTLM,
• istnieją zależności od logowania do zasobów po IP,
• funkcjonują urządzenia/usługi nieobsługujące Kerberosa (często stare NAS/printery/appliance),
• część środowiska jest poza domeną albo ma nietypowe topologie sieci (DC „niewidoczny” z segmentów).

Microsoft deklaruje, iż w fazie 3 mają dojść mechanizmy ograniczające breakage w typowych „NTLM-only cases”, ale to przez cały czas nie zastępuje testów w realnym środowisku.

Co zyskujecie bezpieczeństwowo

Eliminacja NTLM znacząco ogranicza klasy ataków bazujące na przechwytywaniu i przekazywaniu uwierzytelnień (relay) oraz na wykorzystaniu hashy (pass-the-hash). Microsoft Learn podkreśla, iż redukcja/wyłączenie NTLM wymusza użycie bezpieczniejszych protokołów (Kerberos v5) i usuwa wektor ataku tam, gdzie serwery/DC nie przyjmują już żądań NTLM.

Rekomendacje operacyjne / co zrobić teraz

Poniżej plan, który da się wdrożyć „bez heroizmu”, ale konsekwentnie.

1) Zbuduj widoczność: audytuj NTLM zanim zaczniesz blokować

• Włącz i zbierz dane z enhanced NTLM auditing (Windows 11 24H2, Windows Server 2025).
• Zrób mapę: kto (konto/usługa), skąd (host), do czego (serwer/usługa), dlaczego (brak SPN? po IP? brak DC? hardcoded?).

2) W domenie: zacznij od trybu audit i list wyjątków, dopiero potem deny

W AD masz do dyspozycji polityki „Restrict NTLM”. Dobre praktyki Microsoft są proste: najpierw audit, potem analiza logów i wyjątki, dopiero potem deny.
W skrócie:

• ustaw politykę audytu NTLM w domenie,
• przejrzyj logi operacyjne NTLM,
• dodaj niezbędne wyjątki (serwery, których nie da się jeszcze zmigrować),
• eskaluj restrykcje (deny) stopniowo.

3) Usuń typowe przyczyny fallbacku do NTLM

• Napraw SPN i nazewnictwo (unikaj IP w konfiguracjach usług/monitoringu).
• Wymuś użycie Negotiate/Kerberos w aplikacjach (tam, gdzie masz wpływ na konfigurację lub kod).
• Zaplanuj wykorzystanie nadchodzących mechanizmów (2H 2026): IAKerb i Local KDC w scenariuszach, gdzie dziś „brak linii wzroku” do DC wymusza NTLM.

4) Uporządkuj NTLMv1 i „pochodne” scenariusze legacy

Jeśli gdzieś jeszcze występują mechanizmy ocierające się o NTLMv1:

• Microsoft już uruchomił audyt użycia NTLMv1-derived (Event ID 4024 w trybie Audit), a w październiku 2026 planuje domyślne przejście w tryb Enforce dla wskazanego klucza (jeśli organizacja go sama nie ustawi).
  To dobra „datownikowa” kotwica do planowania: choćby jeżeli macie większy projekt „NTLM-off”, warto równolegle dopiąć wątki NTLMv1.

5) Testy „NTLM-off” w kontrolowanym środowisku

Microsoft wprost zachęca do testowania konfiguracji bez NTLM w non-prod oraz do przygotowania zespołów identity/security/app owners.
Minimum praktyczne:

• pilotaż na wybranym OU / segmencie,
• lista usług krytycznych + testy regresji,
• scenariusze awaryjne (jak gwałtownie przywrócić wyjątek/politykę).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

NTLM „disabled by default” vs „NTLMv1 removed”

• Usunięcie NTLMv1 (Windows 11 24H2 / Windows Server 2025) to konkretna eliminacja starej wersji protokołu.
• Wyłączenie network NTLM domyślnie to szersza zmiana platformowa, która dotyka również NTLMv2 jako mechanizmu sieciowego fallbacku i ma wprowadzić stan „bezpieczny domyślnie” w przyszłych wydaniach.

Restrict NTLM w AD vs globalna zmiana domyślna w Windows

• Restrict NTLM to narzędzia domenowe, które możesz wdrażać już teraz (audit/deny + wyjątki).
• Zmiana domyślna Microsoft (faza 3) oznacza, iż choćby bez twoich GPO nowe systemy będą „skręcać” w stronę Kerberosa i blokady NTLM, a NTLM stanie się świadomym wyjątkiem.

Podsumowanie / najważniejsze wnioski

• Microsoft przyspiesza wygaszanie NTLM: faza 2 w 2H 2026 ma ograniczyć najczęstsze powody fallbacku do NTLM, a faza 3 wyłączy network NTLM domyślnie w kolejnym dużym wydaniu Windows Server i powiązanych wydaniach klienckich.
• Największe ryzyko dla organizacji to ukryte zależności (legacy, logowanie po IP, błędne SPN, lokalne konta, hardcoded NTLM).
• Najlepsza strategia na 2026: audyt → mapa zależności → naprawa Kerberosa/Negotiate → stopniowe deny z wyjątkami → testy NTLM-off.

Źródła / bibliografia

1. (TECHCOMMUNITY.MICROSOFT.COM) – Microsoft TechCommunity: Advancing Windows security: Disabling NTLM by default (Jan 29, 2026)
2. (BleepingComputer) – BleepingComputer: Microsoft to disable NTLM by default in future Windows releases (Jan 2026)
3. (Microsoft Learn) – Microsoft Learn: Deprecated features in the Windows client (sekcja NTLM)
4. (Microsoft Support) – Microsoft Support: Upcoming changes to NTLMv1 in Windows 11 24H2 and Windows Server 2025
5. (Microsoft Learn) – Microsoft Learn: Network security: Restrict NTLM… (best practices, audit/deny, ryzyka)