âNTLM basiert auf einem Drei-Wege-Handshake zwischen Client und Server, um einen Benutzer zu authentifizieren. Kerberos setzt hingegen auf einen zweiteiligen Prozess, der auf einem Ticket-Vergabeservice oder einem Key-Distribution-Center fuĂtâ, erklĂ€rt Crowdstrike-Experte Narendran Vaideeswaran in einem Blogbeitrag. Kerberos ist also âsecure by designâ â etwas, das man von NTLM nicht einmal ansatzweise behaupten kann. Allerdings war und ist NTLM einfach zu implementieren â was auch ein Grund fĂŒr die anhaltende Nutzung ist. Ein weiterer: Wenn Kerberos nicht richtig funktioniert, ist NTLM oft die nĂ€chstbeste Wahl, respektive die Fallback-Lösung. Einen weiteren Pain Point besteht darin, dass das Protokoll auch verwendet wird, um Remote Desktop Services zu implementieren.
Microsofts Bestrebungen, NTLM abzulösen, schienen hingegen angesichts der Nicht-Existenz einfacher Lösungen etwas unaufrichtig â erst in jĂŒngster Zeit scheint die Abkehr von NTLM endlich Fahrt aufzunehmen. X-User âBrian in Pittsburghâ bringt die zĂ€he Entwicklung in einer Kurznachricht auf den Punkt:
For about a decade or more, Microsoft took an approach that customers who wanted to be more foundationally secure needed to either possess significant expertise and determination to implement non-default and obscure things or shift to using new MS cloud stuff.
â Brian in Pittsburgh (@arekfurt) April 15, 2024
In einem Blogpost aus dem Oktober 2023 kĂŒndigt Microsoft an, die ZuverlĂ€ssigkeit und FlexibilitĂ€t von Kerberos ausbauen und die AbhĂ€ngigkeiten von NTLM reduzieren zu wollen. In Windows 11 soll NTLM vollstĂ€ndig deaktiviert werden â allerdings ist dafĂŒr bislang noch kein Termin bekannt.
