NTLM – koniec protokołu, który uwierzytelniał firmy przez 30 lat

Czym jest NTLM i dlaczego był wszędzie

NTLM, czyli NT LAN Manager, to protokół uwierzytelniania stworzony przez Microsoft w latach 80. XX wieku na potrzeby systemu Windows NT. Jego zadaniem było potwierdzenie tożsamości użytkownika lub urządzenia w sieci firmowej – bez konieczności przesyłania hasła w postaci jawnej.

Działał na zasadzie challenge-response: serwer wysyłał klientowi losowe wyzwanie, klient odpowiadał hashem hasła, a serwer weryfikował odpowiedź i przyznawał dostęp. Proste, skuteczne i przez dekady wystarczające.

NTLM przez lata był domyślnym mechanizmem uwierzytelniania w:

• dostępie do folderów sieciowych i drukarek,
• logowaniu do serwerów plików i aplikacji intranetowych,
• protokołach SMB, HTTP i LDAP w środowiskach Windows,
• starszych systemach ERP, CRM i aplikacjach biznesowych.

Wiele firm do dziś korzysta z NTLM nawet o tym nie wiedząc – protokół działa w tle jako mechanizm zapasowy, uruchamiany automatycznie gdy nowocześniejszy Kerberos zawiedzie lub nie jest obsługiwany przez drugą stronę.

Dlaczego NTLM stał się zagrożeniem bezpieczeństwa

Problem z NTLM nie leży w jego wieku, lecz w fundamentalnych słabościach architektury, których nie można naprawić łatkami. Przez lata badacze bezpieczeństwa odkryli szereg technik ataku, które dziś są powszechnie stosowane przez cyberprzestępców:

• Pass-the-Hash – atakujący przechwytuje hash hasła (np. z pamięci systemu lub ruchu sieciowego) i używa go bezpośrednio do uwierzytelnienia, bez znajomości oryginalnego hasła. Sama zmiana hasła przez użytkownika nie pomaga, jeśli hash wyciekł.
• NTLM Relay Attack – atakujący przechwytuje wymianę challenge-response między klientem a serwerem i przekazuje ją do innego serwera, podszywając się pod ofiarę. To jedna z ulubionych technik w środowiskach korporacyjnych.
• Łamanie hashy offline – przechwycony hash NTLM można poddać atakowi słownikowemu lub brute-force na własnym sprzęcie. Nowoczesne karty GPU łamią słabe hasła w ciągu sekund.
• Brak wzajemnego uwierzytelniania – NTLM weryfikuje tylko klienta, nie serwer. Otwiera to drogę do ataków man-in-the-middle.

Narzędzia do przeprowadzania tych ataków – jak Responder, Impacket czy Mimikatz – są dostępne publicznie i szeroko stosowane zarówno przez pentesterów, jak i przestępców. Właśnie dlatego NTLM od lat figuruje na listach najczęściej wykorzystywanych wektorów ataków w raportach takich organizacji jak CISA czy ENISA.

Microsoft ogłasza koniec NTLM

W październiku 2023 roku Microsoft oficjalnie ogłosił plany deprecacji NTLM w przyszłych wersjach Windows i Windows Server. To nie był zaskakujący ruch – firma od lat zachęcała do migracji na Kerberos i nowoczesne uwierzytelnianie – ale formalne potwierdzenie dało jasny sygnał: era NTLM dobiega końca.

Wycofywanie protokołu przebiega stopniowo:

1. Windows Server 2025 – wprowadzono nowe narzędzia do audytu użycia NTLM w sieci, możliwość blokowania NTLM v1 domyślnie oraz rozszerzono Kerberos o obsługę scenariuszy, które dotychczas wymagały NTLM (np. uwierzytelnianie przez adres IP).
2. Windows 11 24H2 i nowsze – NTLM v1 blokowany domyślnie, NTLM v2 podlega nowym ograniczeniom konfiguracyjnym. Nowe zasady grupowe pozwalają precyzyjnie monitorować, które aplikacje i urządzenia nadal generują ruch NTLM.
3. Kolejne wydania (2026 i dalej) – Microsoft zapowiedział dalsze zaostrzanie domyślnych ustawień, z docelowym wyłączeniem NTLM jako mechanizmu fallback w przyszłych wersjach systemu.

Firma nie wyłącza NTLM z dnia na dzień – firmy mają czas na przygotowanie. Niemniej każda kolejna aktualizacja systemu może przynieść nowe domyślne restrykcje, które zablokują działanie aplikacji korzystających z NTLM bez wcześniejszego ostrzeżenia.

Co zmiana oznacza dla Twojej firmy MŚP

Dla małych i średnich firm korzystających z infrastruktury Windows – serwera plików, Active Directory, firmowego intranetu – deprecacja NTLM to realne wyzwanie operacyjne. Problemy mogą pojawić się w kilku obszarach:

• Starsze aplikacje biznesowe – systemy ERP, CRM i aplikacje kadrowo-płacowe zbudowane 10–15 lat temu często korzystają z NTLM do uwierzytelniania. Po zaostrzeniu ustawień mogą przestać działać.
• Drukarki i urządzenia wielofunkcyjne – skanowanie do folderu sieciowego lub wysyłanie skanów mailem często opiera się na NTLM. Starsze modele mogą nie obsługiwać Kerberos w ogóle.
• Serwery NAS firm trzecich – urządzenia QNAP, Synology czy NETGEAR mogą wymagać aktualizacji firmware, by poprawnie obsługiwać Kerberos zamiast NTLM.
• Aplikacje webowe w intranecie – wewnętrzne portale i strony korzystające z Windows Authentication mogą wymagać rekonfiguracji pod Kerberos lub przejścia na nowoczesne protokoły (OAuth 2.0, OIDC).
• Skrypty i automatyzacja – skrypty PowerShell lub zadania wsadowe łączące się z zasobami sieciowymi mogą używać NTLM jako domyślnego mechanizmu uwierzytelniania.

Dobra wiadomość: większość tych problemów można rozwiązać konfiguracją – bez wymiany całej infrastruktury. Kluczem jest jednak wczesne rozpoznanie skali problemu we własnej organizacji, zanim zrobi to za firmę kolejna aktualizacja systemu.

Kerberos i nowoczesne uwierzytelnianie – co zamiast NTLM

Microsoft rekomenduje trzy główne ścieżki zastąpienia NTLM, w zależności od architektury środowiska:

Kerberos – preferowana alternatywa dla środowisk on-premises z Active Directory. Protokół działa od Windows 2000 i jest znacznie bezpieczniejszy: obsługuje wzajemne uwierzytelnianie, używa biletów (tickets) zamiast hashy, a ataki relay są znacznie trudniejsze do przeprowadzenia. W większości środowisk Kerberos jest już aktywny – wystarczy upewnić się, że aplikacje i urządzenia poprawnie go wykorzystują zamiast cofać się do NTLM.

Microsoft Entra ID i nowoczesne uwierzytelnianie – optymalne rozwiązanie dla środowisk chmurowych i hybrydowych. Protokoły OAuth 2.0 i OpenID Connect zastępują stare mechanizmy, a Entra ID zapewnia Single Sign-On (SSO) i uwierzytelnianie wieloskładnikowe (MFA) zintegrowane z Microsoft 365.

Kerberos Armoring (FAST) – rozszerzenie Kerberos dostępne od Windows Server 2012 R2, które szyfruje komunikację uwierzytelniającą i chroni przed atakami na sam protokół.

Podstawowe kroki migracji od NTLM:

1. Włącz audyt NTLM w zasadach grupowych (Network Security: Restrict NTLM) i zbieraj logi przez 2–4 tygodnie.
2. Zidentyfikuj urządzenia i aplikacje generujące ruch NTLM na podstawie zebranych logów.
3. Zaktualizuj firmware drukarek, skanerów i urządzeń NAS do wersji obsługujących Kerberos.
4. Skonfiguruj SPN (Service Principal Names) dla serwerów i usług, które mają korzystać z Kerberos.
5. Przetestuj nową konfigurację w środowisku testowym przed wdrożeniem produkcyjnym.
6. Stopniowo włączaj blokowanie NTLM, monitorując logi pod kątem błędów uwierzytelniania.

Lista kontrolna – czy Twoja firma jest gotowa

Nie musisz przeprowadzać migracji z dnia na dzień. Ważne jednak, żeby wiedzieć, gdzie stoisz. Poniższa lista pomoże ocenić skalę pracy do wykonania:

• Czy masz Active Directory? Sprawdź poziom funkcjonalności domeny – powinien wynosić co najmniej Windows Server 2012 R2 dla pełnej obsługi Kerberos Armoring.
• Czy wiesz, które aplikacje używają NTLM? Jeśli nie, włącz audyt w GPO i zbieraj dane przez minimum dwa tygodnie przed podjęciem jakichkolwiek zmian.
• Czy masz urządzenia peryferyjne (drukarki, skanery, NAS)? Sprawdź dostępność aktualizacji firmware i obsługę Kerberos u producenta.
• Czy korzystasz z aplikacji webowych w intranecie? Skontaktuj się z dostawcą – mogą wymagać rekonfiguracji pod Kerberos lub przejścia na OAuth 2.0 i OIDC.
• Czy masz starsze systemy operacyjne? Windows Server 2008/2012 R2 oraz Windows 7 i 8 to urządzenia wymagające priorytetowej aktualizacji lub izolacji sieciowej.
• Czy masz wdrożone MFA? Migracja od NTLM to doskonały moment, by jednocześnie wzmocnić uwierzytelnianie przez MFA w Entra ID lub Active Directory.

Jeśli nie jesteś pewien jak ocenić stan swojego środowiska, audyt IT pozwoli precyzyjnie określić zakres prac i uniknąć niespodzianek przy kolejnych aktualizacjach systemu Windows.