Opprinnelig publiseringsdato: 29. august 2025 kl.
KB-ID: 5066470
Innføring
Denne artikkelen beskriver de siste og kommende endringene i Windows 11, versjon 24H2 og Windows Server 2025, med fokus på revisjon og eventuelt håndhevelse av blokkering av NTLMv1-avledet kryptografi. Disse endringene er en del av Microsofts bredere initiativ for å fase ut NTLM.
Bakgrunn
Microsoft har fjernet NTLMv1-protokollen (se Fjernede funksjoner og funksjonalitet) fra Windows 11, versjon 24H2 og Windows Server 2025 og nyere versjoner. Mens NTLMv1-protokollen fjernes, finnes imidlertid rester av NTLMv1-kryptografi fortsatt i enkelte scenarioer, for eksempel når du bruker MS-CHAPv2 i et domenetilkoblet miljø.
Credential Guard gir fullstendig beskyttelse av både NTLMv1 eldre kryptografi og mange andre angrepsoverflater, og derfor anbefaler Microsoft på det sterkeste distribusjon og aktivering hvis Credential Guard-kravene oppfylles. De kommende endringene påvirker bare enheter der Legitimasjonsbeskyttelse er deaktivert. hvis Windows Credential Guard er aktivert på enheten, trer ikke endringene som er beskrevet i denne artikkelen, i kraft.
Mål
Med avviklingen av NTLM (se avskrevne funksjoner) og fjerningen av NTLMv1-protokollen, arbeider Microsoft med å fullføre deaktiveringen av NTLMv1 ved å deaktivere ved hjelp av NTLMv1-avledet legitimasjon.
Kommende endringer
To nye endringer, innføring av en ny registernøkkel og nye hendelseslogger, er inkludert i denne oppdateringen. Hvis du vil ha en tidslinje over disse endringene, kan du se delen Utrulling av endringer .
Ny registernøkkel
Det innføres en ny registernøkkel som angir om endringene er i overvåkingsmodus eller fremtvingingsmodus.
|
Registerplassering |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Verdi |
BlockNtlmv1SSO |
|
Type |
REG_DWORD |
|
Data |
|
Nye revisjonsfunksjoner
-
Når du bruker overvåkingsinnstillinger (standard)
Hendelseslogg
Microsoft-Windows-NTLM/Operational
Hendelsestype
Advarsel
Hendelseskilde
NTLM
Hendelses-ID
4024
Hendelsestekst
Overvåke et forsøk på å bruke NTLMv1-avledet legitimasjon for enkel pålogging Målserver: <domain_name> Angitt bruker: <user_name> Angitt domene: <domain_name> PID for klientprosess: <process_identifier> Navn på klientprosess: <process_name> LUID for klientprosess: <locally_unique_identifier> Brukeridentitet for klientprosess: <user_name> Domenenavn for brukeridentitet for klientprosess: <domain_name> Mekanisme OID: <object_identifier> Hvis du vil ha mer informasjon, kan du se https://go.microsoft.com/fwlink/?linkid=2321802.
-
Når du bruker Bruk innstillinger
Hendelseslogg
Microsoft-Windows-NTLM/Operational
Hendelsestype
Feil
Hendelseskilde
NTLM
Hendelses-ID
4025
Hendelsestekst
Et forsøk på å bruke NTLMv1-avledet legitimasjon for enkel Sign-On ble blokkert på grunn av policy.Målserver: <domain_name> Angitt bruker: <user_name> Angitt domene: <domain_name> PID for klientprosess: <process_identifier> Navn på klientprosess: <process_name> LUID for klientprosess: <locally_unique_identifier> Brukeridentitet for klientprosess: <user_name> Domenenavn for brukeridentitet for klientprosess: <domain_name> Mekanisme OID: <object_identifier> Hvis du vil ha mer informasjon, kan du se https://go.microsoft.com/fwlink/?linkid=2321802.
Hvis du vil ha mer informasjon om andre revisjonsforbedringer, kan du se Oversikt over forbedringer for NTLM-overvåking i Windows 11, versjon 24H2 og Windows Server 2025.
Utrulling av endringer
I september 2025 og senere oppdateringer rulles endringene ut til Windows 11, versjon 24H2 og nyere klient-OS i overvåkingsmodus. I denne modusen logges hendelses-ID: 4024 når NTLMv1-avledet legitimasjon brukes, men godkjenningen fortsetter å fungere. Utrullingen vil nå Windows Server 2025 senere i år.
I oktober 2026 angir Microsoft standardverdien for BlockNTLMv1SSO-registernøkkelen til 1 (Håndheve) i stedet for 0 (overvåking) hvis Registernøkkelen BlockNTLMv1SSO ikke er distribuert til enheten.
Tidslinje
|
Dato |
Endret |
|
Slutten av august 2025 |
Overvåkingslogger for NTLMv1-bruk aktivert på Windows 11, versjon 24H2 og nyere klienter. |
|
November 2025 |
Start utrullingen av endringer til Windows Server 2025. |
|
Oktober 2026 |
Standardverdien for BlockNtlmv1SSO-registernøkkelen endres fra overvåkingsmodus (0) til fremtvingingsmodus (1) gjennom en fremtidig Windows-oppdatering, noe som styrker NTLMv1-begrensninger. Denne endringen i standarder trer bare i kraft hvis registernøkkelen BlockNtlmv1SSO ikke er distribuert. |
Obs! Disse datoene er foreløpige og kan endres.
Vanlige spørsmål
Microsoft bruker en gradvis utrullingsmetode til å distribuere en utgivelsesoppdatering over en tidsperiode, i stedet for alle samtidig. Dette betyr at brukere mottar oppdateringene på forskjellige tidspunkt, og det er ikke sikkert at de er umiddelbart tilgjengelige for alle brukere.
NTLMv1-avledet legitimasjon brukes av visse protokoller på høyere nivå for enkle Sign-On formål. Eksempler inkluderer Wi-Fi-, Ethernet- og VPN-distribusjoner ved hjelp av MS-CHAPv2-godkjenning. På samme måte som når Credential Guard er aktivert, vil enkelt Sign-On flyter for disse protokollene ikke fungere, men manuell innstilling av legitimasjon vil fortsette å fungere selv i fremtvingingsmodus . Hvis du vil ha mer informasjon og anbefalte fremgangsmåter, kan du se Viktige faktorer og kjente problemer når du bruker Credential Guard.
Den eneste likheten mellom denne oppdateringen og Credential Guard er beskyttelse rundt brukerlegitimasjon fra NTLMv1-avledet kryptografi. Denne oppdateringen gir ikke den brede og robuste beskyttelsen av Credential Guard. Microsoft anbefaler Credential Guard-aktivering på alle støttede plattformer.
