“NTLM basiert auf einem Drei-Wege-Handshake zwischen Client und Server, um einen Benutzer zu authentifizieren. Kerberos setzt hingegen auf einen zweiteiligen Prozess, der auf einem Ticket-Vergabeservice oder einem Key-Distribution-Center fußt”, erklärt Crowdstrike-Experte Narendran Vaideeswaran in einem Blogbeitrag. Kerberos ist also “secure by design” – etwas, das man von NTLM nicht einmal ansatzweise behaupten kann. Allerdings war und ist NTLM einfach zu implementieren – was auch ein Grund für die anhaltende Nutzung ist. Ein weiterer: Wenn Kerberos nicht richtig funktioniert, ist NTLM oft die nächstbeste Wahl, respektive die Fallback-Lösung. Einen weiteren Pain Point besteht darin, dass das Protokoll auch verwendet wird, um Remote Desktop Services zu implementieren.
Microsofts Bestrebungen, NTLM abzulösen, schienen hingegen angesichts der Nicht-Existenz einfacher Lösungen etwas unaufrichtig – erst in jüngster Zeit scheint die Abkehr von NTLM endlich Fahrt aufzunehmen. X-User “Brian in Pittsburgh” bringt die zähe Entwicklung in einer Kurznachricht auf den Punkt:
For about a decade or more, Microsoft took an approach that customers who wanted to be more foundationally secure needed to either possess significant expertise and determination to implement non-default and obscure things or shift to using new MS cloud stuff.
— Brian in Pittsburgh (@arekfurt) April 15, 2024
In einem Blogpost aus dem Oktober 2023 kündigt Microsoft an, die Zuverlässigkeit und Flexibilität von Kerberos ausbauen und die Abhängigkeiten von NTLM reduzieren zu wollen. In Windows 11 soll NTLM vollständig deaktiviert werden – allerdings ist dafür bislang noch kein Termin bekannt.
