Oprindelig publiceringsdato: 29. august 2025
KB-id: 5066470
Introduktion
I denne artikel beskrives de seneste og kommende ændringer i Windows 11 version 24H2 og Windows Server 2025 med fokus på overvågning og eventuel håndhævelse af blokering af kryptografi fra NTLMv1. Disse ændringer er en del af Microsofts bredere initiativ til at udfase NTLM.
Baggrund
Microsoft har fjernet NTLMv1-protokollen (se Fjernede funktioner og funktionalitet) fra Windows 11, version 24H2 og Windows Server 2025 og nyere versioner. Men mens NTLMv1-protokollen fjernes, findes resterne af NTLMv1-kryptografi stadig i visse scenarier, f.eks. når du bruger MS-CHAPv2 i et domæneforbundet miljø.
Credential Guard giver fuld beskyttelse af både den ældre NTLMv1-kryptografi og mange andre angrebsoverflader, og Derfor anbefaler Microsoft på det kraftigste, at det installeres og aktiveres, hvis Credential Guards krav er opfyldt. De kommende ændringer påvirker kun enheder, hvor Credential Guard er deaktiveret. Hvis Windows Credential Guard er aktiveret på enheden, træder ændringerne i denne artikel ikke i kraft.
Mål
Med udfasningen af NTLM (se Forældede funktioner) og fjernelsen af NTLMv1-protokollen arbejder Microsoft på at færdiggøre deaktivering af NTLMv1 ved at deaktivere brug af NTLMv1-afledte legitimationsoplysninger.
Kommende ændringer
Denne opdatering indeholder to nye ændringer, introduktionen af en ny registreringsdatabasenøgle og nye hændelseslogge. Du kan se en tidslinje over disse ændringer i afsnittet Udrulning af ændringer .
Ny registreringsdatabasenøgle
Der introduceres en ny registreringsdatabasenøgle, der angiver, om ændringerne er i overvågningstilstand eller gennemtving tilstand.
|
Placering af registreringsdatabasen |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Værdi |
BlockNtlmv1SSO |
|
Type |
REG_DWORD |
|
Data |
|
Nye overvågningsfunktioner
-
Når du bruger indstillinger for overvågning (standard)
Hændelseslog
Microsoft-Windows-NTLM/Operational
Hændelsestype
Advarsel
Hændelseskilde
NTLM
Hændelses-id
4024
Hændelsestekst
Overvågning af et forsøg på at bruge NTLMv1-afledte legitimationsoplysninger til enkeltlogon Destinationsserver: <domain_name> Leveret bruger: <user_name> Leveret domæne: <domain_name> PID for klientproces: <process_identifier> Navn på klientproces: <process_name> LUID for klientproces: <locally_unique_identifier> Brugeridentitet for klientproces: <user_name> Domænenavnet på brugeridentiteten for klientprocessen: <domain_name> OID-mekanisme: <object_identifier> Du kan få mere at vide under https://go.microsoft.com/fwlink/?linkid=2321802.
-
Når du bruger Gennemtving indstillinger
Hændelseslog
Microsoft-Windows-NTLM/Operational
Hændelsestype
Fejl
Hændelseskilde
NTLM
Hændelses-id
4025
Hændelsestekst
Et forsøg på at bruge NTLMv1-afledte legitimationsoplysninger for Single Sign-On blev blokeret på grund af politik.Destinationsserver: <domain_name> Leveret bruger: <user_name> Leveret domæne: <domain_name> PID for klientproces: <process_identifier> Navn på klientproces: <process_name> LUID for klientproces: <locally_unique_identifier> Brugeridentitet for klientproces: <user_name> Domænenavnet på brugeridentiteten for klientprocessen: <domain_name> OID-mekanisme: <object_identifier> Du kan få mere at vide under https://go.microsoft.com/fwlink/?linkid=2321802.
Du kan få mere at vide om andre forbedringer af overvågning under Oversigt over forbedringer af NTLM-overvågning i Windows 11, version 24H2 og Windows Server 2025.
Udrulning af ændringer
I september 2025 og senere opdateringer udrulles ændringerne til Windows 11, version 24H2 og nyere klientsystem i overvågningstilstand. I denne tilstand logføres hændelses-id: 4024 , når der bruges NTLMv1-afledte legitimationsoplysninger, men godkendelsen fortsætter med at fungere. Implementeringen når Windows Server 2025 senere på året.
I oktober 2026 indstiller Microsoft standardværdien for Registreringsdatabasenøglen BlockNTLMv1SSO til 1 (Gennemtving) i stedet for 0 (overvågning), hvis registreringsdatabasenøglen BlockNTLMv1SSO ikke er blevet installeret på enheden.
Tidslinje
|
Dato |
Skift |
|
Slutningen af august 2025 |
Overvågningslogge for NTLMv1-brug aktiveret på Windows 11, version 24H2 og nyere klienter. |
|
November 2025 |
Start implementeringen af ændringer i Windows Server 2025. |
|
Oktober 2026 |
Standardværdien for registreringsdatabasenøglen BlockNtlmv1SSO ændres fra overvågningstilstand (0) til Gennemtving tilstand (1) via en fremtidig Windows-opdatering, der styrker NTLMv1-begrænsninger. Denne ændring i standard træder kun i kraft, hvis registreringsdatabasenøglen BlockNtlmv1SSO ikke er blevet installeret. |
Bemærk! Disse datoer er foreløbig og kan ændres uden forbehold.
Ofte stillede spørgsmål (ofte stillede spørgsmål)
Microsoft bruger en gradvis udrulningsmetode til at distribuere en udgivelsesopdatering over en tidsperiode og ikke på én gang. Det betyder, at brugerne modtager opdateringerne på forskellige tidspunkter, og det er muligvis ikke umiddelbart tilgængeligt for alle brugere.
NTLMv1-afledte legitimationsoplysninger bruges af visse protokoller på højere niveau til enkelt-Sign-On formål; Eksempler omfatter Wi-Fi-, Ethernet- og VPN-installationer ved hjælp af MS-CHAPv2-godkendelse. På samme måde som når Credential Guard er aktiveret, fungerer enkelt-Sign-On-flows for disse protokoller ikke, men manuel indtastning af legitimationsoplysninger vil fortsat fungere selv i gennemtvingende tilstand. Du kan få mere at vide og bedste fremgangsmåder under Overvejelser og kendte problemer, når du bruger Credential Guard.
Den eneste lighed mellem denne opdatering og Credential Guard er beskyttelse omkring brugerlegitimationsoplysninger fra NTLMv1-afledt kryptografi. Denne opdatering giver ikke den brede og robuste beskyttelse af Credential Guard. Microsoft anbefaler, at Credential Guard aktiveres på alle understøttede platforme.
