Microsoft anuncia novas ferramentas para controle do NTLM no Windows 11 24H2 e Server 2025

Microsoft libera novas chaves e políticas para monitorar e restringir NTLM no Windows 11 24H2 e Server 2025.
Atualizado há 7 horas
Microsoft anuncia novas ferramentas para controle do NTLM no Windows 11 24H2 e Server 2025
(Imagem/Reprodução: Neowin)
Resumo da notícia
    • A Microsoft atualiza o Windows 11 24H2 e Windows Server 2025 com novas chaves de Registro e Políticas de Grupo para o protocolo NTLM.
    • Você poderá contar com ferramentas aprimoradas para monitorar e controlar o uso do NTLM, tornando a autenticação mais segura.
    • Essas mudanças reforçam a segurança contra vulnerabilidades do NTLM, que está sendo gradualmente removido desses sistemas.
    • O cronograma escalonado permite adaptação sem impacto nas operações, garantindo uma transição segura para métodos modernos.
CONTINUA DEPOIS DA PUBLICIDADE

A Microsoft está implementando mudanças importantes para o protocolo NTLM (NT LAN Manager) no Windows 11 versão 24H2 e no Windows Server 2025. Essas atualizações incluem novas chaves de Registro e Políticas de Grupo para ajudar administradores de TI a monitorar e controlar o uso do NTLM, que já não é considerado seguro para os padrões modernos e será removido. O objetivo é incentivar a transição para métodos de autenticação mais robustos, como o Kerberos.

Desde dezembro do ano passado, a Microsoft iniciou o processo de descontinuação de todas as versões do protocolo NTLM. Isso significa que ele não recebe mais desenvolvimento ativo e seu suporte está sendo reduzido, com a remoção completa prevista para o futuro próximo. O padrão NTLMv1, por exemplo, já foi removido nessas versões do sistema operacional.

A segurança é o principal motivo para essa mudança. O NTLM demonstrou vulnerabilidades ao longo do tempo, tornando os sistemas que o utilizam mais suscetíveis a ataques cibernéticos. Por isso, a empresa recomenda fortemente que as organizações migrem para alternativas de autenticação mais modernas e seguras, minimizando riscos.

CONTINUA DEPOIS DA PUBLICIDADE

Para auxiliar na transição e garantir que as empresas possam se adaptar sem interrupções críticas, a Microsoft divulgou guias de suporte detalhados. Estes documentos fornecem informações sobre como identificar e gerenciar o uso do NTLM em ambientes corporativos antes que sua remoção total seja efetivada.

Novas Ferramentas de Auditoria para NTLM no Windows

Em julho, a Microsoft lançou um artigo de suporte detalhando as mudanças na auditoria do NTLM. Essa funcionalidade é fundamental para administradores de TI e de sistemas, pois permite identificar onde o protocolo NTLM ainda está sendo utilizado em suas organizações. Mesmo com a descontinuação, a Microsoft reconhece que algumas empresas ainda dependem de autenticação NTLM para sistemas legados.

Leia também:

Os guias oficiais explicam como configurar as novas definições de NTLM usando duas novas Políticas de Grupo. A primeira é o “NTLM Enhanced Logging“, que permite o registro detalhado de atividades do NTLM tanto para clientes quanto para servidores. Já a segunda, “Log Enhanced Domain-wide NTLM Logs“, oferece um registro abrangente em todo o domínio.

Essas políticas são projetadas para fornecer uma visão clara do ecossistema de autenticação de uma organização, ajudando a identificar dependências e planejar a migração para métodos mais seguros. O suporte completo está disponível no artigo KB5064479, que oferece orientações para configurar essas ferramentas de auditoria.

A capacidade de gerenciar permissões de aplicativos e monitorar o tráfego de rede é essencial para manter a segurança em infraestruturas corporativas modernas. Por isso, estas novas políticas de grupo se alinham com a necessidade crescente de visibilidade e controle sobre os sistemas de autenticação.

Chaves de Registro e Proteção Avançada

CONTINUA DEPOIS DA PUBLICIDADE

Além das Políticas de Grupo, a Microsoft adicionou uma nova chave de Registro relacionada à auditoria e imposição do Credential Guard para bloquear a criptografia NTLMv1. O Credential Guard é uma ferramenta de segurança que ajuda a proteger as credenciais de roubo, isolando-as com o uso do Virtualization-Based Security (VBS). Esse recurso é fundamental para garantir a integridade dos hashes de senhas do NTLM, especialmente diante de potenciais ataques virtuais.

A nova chave de Registro, chamada BlockNtlmv1SSO, pode ser configurada de duas maneiras: no modo Audit (valor 0, padrão), as tentativas de gerar credenciais NTLMv1 são registradas, mas permitidas. No modo Enforce (valor 1), essas solicitações são bloqueadas e eventos de erro são gerados. Essa flexibilidade permite que as organizações testem a compatibilidade antes de aplicar a restrição total.

Característica Detalhe
Localização do Registro HKLM\SYSTEM\currentcontrolset\control\lsa\msv1_0
Valor BlockNtlmv1SSO
Tipo REG_DWORD
Dados
  • 0 (padrão) – Modo Audit: A solicitação para gerar credenciais NTLMv1 é auditada, mas permitida. Eventos de aviso são gerados.
  • 1 – Modo Enforce: A solicitação para gerar credenciais NTLMv1 é bloqueada. Eventos de erro são gerados.

Estas medidas reforçam a segurança contra vetores de ataque que exploram o NTLMv1, um protocolo que tem sido alvo de vulnerabilidades ao longo do tempo. Para sistemas como o Windows Server 2025, que pode lidar com volumes enormes de dados e acessos, a proteção de credenciais é uma prioridade.

Cronograma de Implementação

A Microsoft também compartilhou um cronograma para a implementação dessas mudanças, dando tempo para que as organizações se preparem. No final de agosto de 2025, os registros de auditoria para o uso do NTLMv1 serão ativados nos clientes Windows 11, versão 24H2 e em versões mais recentes. O início da implementação no Windows Server 2025 está programado para novembro de 2025.

Data Mudança
Fim de Agosto de 2025 Registros de auditoria para uso do NTLMv1 ativados em clientes Windows 11, versão 24H2 e mais novos.
Novembro de 2025 Início da implementação das mudanças no Windows Server 2025.
Outubro de 2026 O valor padrão da chave de Registro BlockNtlmv1SSO muda de modo Audit (0) para modo Enforce (1) através de uma futura atualização do Windows. Esta mudança de padrão só ocorrerá se a chave BlockNtlmv1SSO não tiver sido implantada manualmente.

Essa abordagem escalonada visa minimizar o impacto nas operações existentes, permitindo que os administradores identifiquem e corrijam quaisquer problemas de compatibilidade antes que as restrições mais severas sejam aplicadas. Para os usuários do Windows 11 25H2, as novidades trazem ainda mais atenção para a segurança. Mais detalhes estão disponíveis no artigo de suporte KB5066470 no site oficial da Microsoft.

Este conteúdo foi auxiliado por Inteligência Artificial, mas escrito e revisado por um humano.

Via Neowin

André atua como jornalista de tecnologia desde 2009 quando fundou o Tekimobile. Também trabalhou na implantação do portal Tudocelular.com no Brasil e já escreveu para outros portais como AndroidPIT e Techtudo. É formado em eletrônica e automação, trabalhando com tecnologia há 26 anos.