سال گذشته در ماه دسامبر، مایکروسافت شروع به کنار گذاشتن تمامی نسخههای پروتکل NTLM (NT LAN Manager) در ویندوز 11 نسخه 24H2 و ویندوز سرور 2025 کرد. این به معنای آن بود که توسعه فعال آن متوقف شده، پشتیبانی کاهش یافته و بهزودی حذف کامل خواهد شد. این استاندارد در دنیای مدرن آسیبپذیر ثابت شده و مایکروسافت توصیه کرده است که از روشهای مدرن احراز هویت مانند Kerberos استفاده شود.
نسخه NTLMv1 در ویندوز 24H2 و سرور 2025 به طور کامل حذف شده و به همین دلیل مایکروسافت اخیراً چندین مقاله راهنما در این زمینه منتشر کرده است. سایت Neowin هنگام مرور، متوجه این مقالات شد.
در ماه ژوئیه، مایکروسافت مقالهای درباره تغییرات مربوط به ممیزی (Auditing) در NTLM منتشر کرد. این قابلیت برای کمک به مدیران فناوری اطلاعات و مدیران سیستم طراحی شده تا بتوانند استفاده از NTLM را در سازمانهای خود شناسایی کنند. مایکروسافت میداند که با وجود حذف NTLM، برخی سازمانها همچنان به احراز هویت قدیمی NTLM متکی هستند، بنابراین داشتن ابزارهایی از این دست بسیار حیاتی است.
این راهنمای رسمی به مدیران آموزش میدهد که چگونه تنظیمات NTLM را با استفاده از خطمشی گروهی (Group Policy) جدید به نام "NTLM Enhanced Logging" برای ثبت گزارش در سمت کلاینت و سرور، یا "Log Enhanced Domain-wide NTLM Logs" برای ثبت گزارش در سطح دامنه پیکربندی کنند.
در حالی که اولین مقاله راهنما بر ممیزی از طریق Group Policy تمرکز داشت، مقاله دوم اطلاعاتی درباره اضافه شدن یک کلید جدید در رجیستری برای بخشهای "ممیزی" و "اجرا" (enforcement) در Credential Guard ارائه میدهد تا از رمزنگاری NTLMv1 جلوگیری شود. همانطور که از نام آن پیداست، Credential Guard با کمک VBS (Virtualization-Based Security) اطلاعات ورود را بهطور ایمن از دسترسی غیرمجاز محافظت میکند و این ویژگی میتواند امنیت هشهای رمز عبور NTLM را تقویت کند.
جزئیات کلید رجیستری جدید به شرح زیر است:
محل رجیستری
HKLM\SYSTEM\currentcontrolset\control\lsa\msv1_0
مقدار (Value)
BlockNtlmv1SSO
نوع (Type)
REG_DWORD
داده (Data)
-
مقدار 0 (پیشفرض): درخواست تولید اعتبارنامههای NTLMv1 برای کاربر وارد شده، ثبت و بررسی میشود اما اجازه موفقیت دارد. رویدادهای هشدار ایجاد میشوند. این حالت Audit mode نام دارد.
-
مقدار 1: درخواست تولید اعتبارنامههای NTLMv1 برای کاربر وارد شده مسدود میشود. رویدادهای خطا ایجاد میشوند. این حالت Enforce mode نام دارد.
مایکروسافت همچنین جدول زمانبندی اجرای این تغییرات را منتشر کرده است:
تاریخ – تغییرات
-
اواخر اوت 2025: فعال شدن ثبت گزارش برای استفاده از NTLMv1 در ویندوز 11 نسخه 24H2 و نسخههای جدیدتر کلاینت.
-
نوامبر 2025: آغاز اجرای تغییرات در ویندوز سرور 2025.
-
اکتبر 2026: مقدار پیشفرض کلید رجیستری BlockNtlmv1SSO از حالت Audit mode (0) به Enforce mode (1) تغییر میکند. این تغییر از طریق یک بهروزرسانی آینده ویندوز انجام خواهد شد و محدودیتهای NTLMv1 را سختگیرانهتر میسازد. این تغییر پیشفرض تنها در صورتی اعمال میشود که کلید رجیستری BlockNtlmv1SSO توسط کاربر یا مدیر سیستم از قبل تنظیم نشده باشد.