Gilt für
Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Ursprüngliches Veröffentlichungsdatum: Dienstag, 29. August 2025

KB-ID: 5066470

Einführung

In diesem Artikel werden die jüngsten und bevorstehenden Änderungen in Windows 11, Version 24H2 und Windows Server 2025 beschrieben, wobei der Schwerpunkt auf der Überwachung und letztlichen Erzwingung der blockierenden, von NTLMv1 abgeleiteten Kryptografie liegt. Diese Änderungen sind Teil der umfassenderen Initiative von Microsoft, NTLM auslaufen zu lassen.

Hintergrund

Microsoft hat das NTLMv1-Protokoll (siehe Entfernte Features und Funktionen) aus Windows 11, Version 24H2 und Windows Server 2025 und höheren Versionen entfernt. Obwohl das NTLMv1-Protokoll entfernt wird, sind in einigen Szenarien noch Reste der NTLMv1-Kryptografie vorhanden, z. B. bei der Verwendung von MS-CHAPv2 in einer domänenverbundenen Umgebung.

Credential Guard bietet vollständigen Schutz sowohl der NTLMv1-Legacykryptografie als auch vieler anderer Angriffsflächen. Daher empfiehlt Microsoft dringend die Bereitstellung und Aktivierung, wenn die Anforderungen von Credential Guard erfüllt sind. Die bevorstehenden Änderungen wirken sich nur auf Geräte aus, bei denen Credential Guard deaktiviert ist. Wenn Windows Credential Guard auf dem Gerät aktiviert ist, werden die in diesem Artikel beschriebenen Änderungen nicht wirksam.

Ziel

Mit der Einstellung von NTLM (siehe Veraltete Features) und der Entfernung des NTLMv1-Protokolls arbeitet Microsoft daran, die Deaktivierung von NTLMv1 abzuschließen, indem die Verwendung von NTLMv1-abgeleiteten Anmeldeinformationen deaktiviert wird.

Anstehende Änderungen

Dieses Update enthält zwei neue Änderungen, die Einführung eines neuen Registrierungsschlüssels und neue Ereignisprotokolle. Eine Zeitleiste dieser Änderungen finden Sie im Abschnitt Rollout von Änderungen.

Neuer Registrierungsschlüssel

Es wird ein neuer Registrierungsschlüssel eingeführt, der bestimmt, ob sich die Änderungen im Überwachungsmodus oder im Erzwingungsmodus befinden.

Registrierungspfad

HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0

Value

BlockNtlmv1SSO

Type

REG_DWORD

Daten

  • 0 (Standard): Die Anforderung zum Generieren von NTLMv1-Anmeldeinformationen für einen angemeldeten Benutzer wird überwacht, kann aber erfolgreich ausgeführt werden. Warnungsereignisse werden generiert. Diese Einstellung wird auch als Überwachungsmodus bezeichnet.

  • 1 – Die Anforderung zum Generieren von NTLMv1-Anmeldeinformationen für einen angemeldeten Benutzer wird blockiert. Fehlerereignisse werden generiert. Diese Einstellung wird auch als Erzwingungsmodus bezeichnet.

Neue Überwachungsfunktionen

  • Bei Verwendung von Überwachungseinstellungen (Standardeinstellungen)

    Ereignisprotokoll

    Microsoft-Windows-NTLM/Operational

    Veranstaltungstyp

    Warnung

    Ereignisquelle

    NTLM

    Ereigniskennung

    4024

    Ereignistext

    Überwachen eines Versuchs, von NTLMv1 abgeleitete Anmeldeinformationen für einmaliges Anmelden zu verwenden Zielserver: <domain_name> Angegebener Benutzer: <user_name> Angegebene Domäne: <domain_name> PID des Clientprozesses: <process_identifier> Name des Clientprozesses: <process_name> LUID des Clientprozesses: <locally_unique_identifier> Benutzeridentität des Clientprozesses: <user_name> Domänenname der Benutzeridentität des Clientprozesses: <domain_name> Mechanismus-OID: <object_identifier> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2321802.

  • Bei Verwendung von Einstellungen erzwingen

    Ereignisprotokoll

    Microsoft-Windows-NTLM/Operational

    Veranstaltungstyp

    Fehler

    Ereignisquelle

    NTLM

    Ereigniskennung

    4025

    Ereignistext

    Ein Versuch, von NTLMv1 abgeleitete Anmeldeinformationen für einzelne Sign-On zu verwenden, wurde aufgrund einer Richtlinie blockiert.Zielserver: <domain_name> Angegebener Benutzer: <user_name> Angegebene Domäne: <domain_name> PID des Clientprozesses: <process_identifier> Name des Clientprozesses: <process_name> LUID des Clientprozesses: <locally_unique_identifier> Benutzeridentität des Clientprozesses: <user_name> Domänenname der Benutzeridentität des Clientprozesses: <domain_name> Mechanismus-OID: <object_identifier> Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2321802.

Weitere Informationen zu anderen Überwachungserweiterungen finden Sie unter Übersicht über NTLM-Überwachungserweiterungen in Windows 11, Version 24H2 und Windows Server 2025.

Rollout von Änderungen

In September 2025 und späteren Updates werden die Änderungen für Windows 11, Version 24H2 und höher des Clientbetriebssystems im Überwachungsmodus eingeführt. In diesem Modus wird die Ereignis-ID 4024 protokolliert, wenn von NTLMv1 abgeleitete Anmeldeinformationen verwendet werden, die Authentifizierung aber weiterhin funktioniert. Der Rollout wird Windows Server 2025 später im Jahr erreichen.

Im Oktober 2026 legt Microsoft den Standardwert des Registrierungsschlüssels BlockNTLMv1SSO auf 1 (Erzwingen) statt auf 0 (Überwachung) fest, wenn der BlockNTLMv1SSO-Registrierungsschlüssel nicht auf dem Gerät bereitgestellt wurde.

Zeitachse

Datum

Änderung

Ende August 2025

Überwachungsprotokolle für die NTLMv1-Verwendung, die auf Clients Windows 11, Version 24H2 und höher aktiviert sind.

November 2025

Beginnen Sie mit dem Rollout der Änderungen an Windows Server 2025.

Oktober 2026

Der Standardwert des Registrierungsschlüssels BlockNtlmv1SSO wird durch ein zukünftiges Windows-Update vom Überwachungsmodus (0) in den Erzwingungsmodus (1) geändert, was die NTLMv1-Einschränkungen verstärkt. Diese Änderung der Standardwerte wird nur wirksam, wenn der Registrierungsschlüssel BlockNtlmv1SSO nicht bereitgestellt wurde.

Hinweis Diese Daten sind mit Vorbehalt und können sich ändern.

Häufig gestellte Fragen (FAQ)

Microsoft verwendet eine schrittweise Rolloutmethode, um ein Releaseupdate über einen bestimmten Zeitraum zu verteilen, anstatt alle gleichzeitig zu verteilen. Dies bedeutet, dass Benutzer die Updates zu unterschiedlichen Zeiten erhalten und möglicherweise nicht sofort für alle Benutzer verfügbar sind.

Von NTLMv1 abgeleitete Anmeldeinformationen werden von bestimmten Protokollen höherer Ebene für Single Sign-On-Zwecke verwendet. Beispiele hierfür sind WLAN-, Ethernet- und VPN-Bereitstellungen mit MS-CHAPv2-Authentifizierung. Ähnlich wie bei aktiviertem Credential Guard funktionieren single Sign-On-Flows für diese Protokolle nicht, aber die manuelle Eingabe von Anmeldeinformationen funktioniert auch im Erzwingungsmodus weiterhin. Weitere Informationen und bewährte Methoden finden Sie unter Überlegungen und bekannte Probleme bei der Verwendung von Credential Guard.

Die einzige Ähnlichkeit zwischen diesem Update und Credential Guard ist der Schutz von Benutzeranmeldeinformationen durch von NTLMv1 abgeleitete Kryptografie. Dieses Update bietet nicht den umfassenden und stabilen Schutz von Credential Guard. Microsoft empfiehlt die Aktivierung von Credential Guard auf allen unterstützten Plattformen.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter