Původní datum publikování: úterý 29. srpna 2025
ID znalostní báze: 5066470
Úvod
Tento článek podrobně popisuje nedávné a nadcházející změny v Windows 11 verze 24H2 a Windows Server 2025 se zaměřením na auditování a případné vynucení blokování kryptografie odvozené od protokolu NTLMv1. Tyto změny jsou součástí širší iniciativy Microsoftu o vyřazovací fázi NTLM.
Pozadí
Společnost Microsoft odebrala protokol NTLMv1 (viz Odebrání funkcí) z Windows 11 verze 24H2 a Windows Server 2025 a novějších verzí. Během odebrání protokolu NTLMv1 se však v některých scénářích stále vyskytují zbytky kryptografie NTLMv1, například při použití MS-CHAPv2 v prostředí připojeném k doméně.
Ochrana Credential Guard poskytuje úplnou ochranu starší kryptografie NTLMv1 i mnoha dalších oblastí útoků, a proto Microsoft důrazně doporučuje její nasazení a povolení, pokud jsou splněny požadavky na ochranu Credential Guard. Chystané změny ovlivní jenom zařízení, na kterých je ochrana Credential Guard zakázaná. Pokud je na zařízení povolená ochrana Windows Credential Guard, změny popsané v tomto článku se neprojeví.
Cíl
Po vyřazení protokolu NTLM (viz Zastaralé funkce) a odebrání protokolu NTLMv1 společnost Microsoft pracuje na dokončení zakázání protokolu NTLMv1 zakázáním použití přihlašovacích údajů odvozených protokolem NTLMv1.
Chystané změny
Součástí této aktualizace jsou dvě nové změny, zavedení nového klíče registru a nové protokoly událostí. Časovou osu těchto změn najdete v části Zavedení změn .
Nový klíč registru
Zavádí se nový klíč registru, který určuje, jestli jsou změny v režimu auditování nebo v režimu vynucení.
|
Umístění registru |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Value (Hodnota) |
BlockNtlmv1SSO |
|
Type (Typ) |
REG_DWORD |
|
Data |
|
Nové možnosti auditování
-
Při použití nastavení auditování (výchozí)
Protokol událostí
Microsoft-Windows-NTLM/Operational
Typ události
Varování
Zdroj události
NTLM
ID události
4024
Text události
Auditování pokusu o použití přihlašovacích údajů odvozených z protokolu NTLMv1 pro jednotné přihlašování Cílový server: <domain_name> Zadaný uživatel: <user_name> Zadaná doména: <domain_name> PID klientského procesu: <process_identifier> Název procesu klienta: <process_name> LUID klientského procesu: <locally_unique_identifier> Identita uživatele procesu klienta: <user_name> Název domény identity uživatele procesu klienta: <domain_name> Mechanismus OID: <object_identifier> Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2321802.
-
Při použití vynucení nastavení
Protokol událostí
Microsoft-Windows-NTLM/Operational
Typ události
Chyba
Zdroj události
NTLM
ID události
4025
Text události
Pokus o použití přihlašovacích údajů odvozených z protokolu NTLMv1 pro jeden Sign-On byl zablokován kvůli zásadám.Cílový server: <domain_name> Zadaný uživatel: <user_name> Zadaná doména: <domain_name> PID klientského procesu: <process_identifier> Název procesu klienta: <process_name> LUID klientského procesu: <locally_unique_identifier> Identita uživatele procesu klienta: <user_name> Název domény identity uživatele procesu klienta: <domain_name> Mechanismus OID: <object_identifier> Další informace najdete v tématu https://go.microsoft.com/fwlink/?linkid=2321802.
Další informace o dalších vylepšeních auditování najdete v tématu Přehled vylepšení auditování NTLM v Windows 11 verze 24H2 a Windows Server 2025.
Zavedení změn
V září 2025 a novějších aktualizacích budou změny nasazeny v Windows 11 verze 24H2 a novějších klientských operačních systému v režimu auditování. V tomto režimu se ID události 4024 zaprotokoluje při každém použití přihlašovacích údajů odvozených protokolem NTLMv1, ale ověřování bude fungovat i nadále. Zavedení bude Windows Server 2025 později v roce.
V říjnu 2026 Microsoft nastaví výchozí hodnotu klíče registru BlockNTLMv1SSO na 1 (Vynucení) místo 0 (Audit), pokud klíč registru BlockNTLMv1SSO není nasazený do zařízení.
Časová osa
|
Datum |
Změna |
|
Konec srpna 2025 |
Protokoly auditování pro použití protokolu NTLMv1 jsou povolené u klientů Windows 11 verze 24H2 a novějších. |
|
listopad 2025 |
Zahájení zavádění změn v Windows Server 2025 |
|
Říjen 2026 |
Výchozí hodnota klíče registru BlockNtlmv1SSO se změní z režimu auditování (0) na režim vynucení (1) prostřednictvím budoucí aktualizace systému Windows, která posiluje omezení protokolu NTLMv1. Tato změna výchozích nastavení se projeví pouze v případě, že nebyl nasazen klíč registru BlockNtlmv1SSO . |
Poznámka: Tato data jsou nezávazná a můžou se změnit.
Nejčastější dotazy
Microsoft používá metodu postupného zavádění k distribuci aktualizace vydané verze v určitém časovém období, nikoli najednou. To znamená, že uživatelé obdrží aktualizace v různých časech a nemusí být okamžitě dostupné všem uživatelům.
Přihlašovací údaje odvozené od PROTOKOLU NTLMv1 jsou používány určitými protokoly vyšší úrovně pro účely single Sign-On; Mezi příklady patří nasazení Wi-Fi, Sítě Ethernet a SÍTĚ VPN s využitím ověřování MS-CHAPv2. Podobně jako když je ochrana Credential Guard povolená, nebudou fungovat jednoúčelové toky Sign-On pro tyto protokoly, ale ruční zadávání přihlašovacích údajů bude fungovat i v režimu vynucení . Další informace a osvědčené postupy najdete v tématu Důležité informace a známé problémy při používání ochrany Credential Guard.
Jedinou podobností mezi touto aktualizací a ochranou Credential Guard je ochrana přihlašovacích údajů uživatele z kryptografie odvozené od protokolu NTLMv1. Tato aktualizace neposkytuje širokou a robustní ochranu Credential Guard. Microsoft doporučuje povolit ochranu Credential Guard na všech podporovaných platformách.
