âNTLM basiert auf einem Drei-Wege-Handshake zwischen Client und Server, um einen Benutzer zu authentifizieren. Kerberos setzt hingegen auf einen zweiteiligen Prozess, der auf einem Ticket-Vergabeservice oder einem Key-Distribution-Center fuĂtâ, erklärt Crowdstrike-Experte Narendran Vaideeswaran in einem Blogbeitrag. Kerberos ist also âsecure by designâ â etwas, das man von NTLM nicht einmal ansatzweise behaupten kann. Allerdings war und ist NTLM einfach zu implementieren â was auch ein Grund fĂźr die anhaltende Nutzung ist. Ein weiterer: Wenn Kerberos nicht richtig funktioniert, ist NTLM oft die nächstbeste Wahl, respektive die Fallback-LĂśsung. Einen weiteren Pain Point besteht darin, dass das Protokoll auch verwendet wird, um Remote Desktop Services zu implementieren.
Microsofts Bestrebungen, NTLM abzulĂśsen, schienen hingegen angesichts der Nicht-Existenz einfacher LĂśsungen etwas unaufrichtig â erst in jĂźngster Zeit scheint die Abkehr von NTLM endlich Fahrt aufzunehmen. X-User âBrian in Pittsburghâ bringt die zähe Entwicklung in einer Kurznachricht auf den Punkt:
For about a decade or more, Microsoft took an approach that customers who wanted to be more foundationally secure needed to either possess significant expertise and determination to implement non-default and obscure things or shift to using new MS cloud stuff.
â Brian in Pittsburgh (@arekfurt) April 15, 2024
In einem Blogpost aus dem Oktober 2023 kĂźndigt Microsoft an, die Zuverlässigkeit und Flexibilität von Kerberos ausbauen und die Abhängigkeiten von NTLM reduzieren zu wollen. In Windows 11 soll NTLM vollständig deaktiviert werden â allerdings ist dafĂźr bislang noch kein Termin bekannt.
