Oorspronkelijke publicatiedatum: dinsdag 29 augustus 2025
KB-id: 5066470
Inleiding
In dit artikel worden de recente en toekomstige wijzigingen in Windows 11, versie 24H2 en Windows Server 2025 beschreven, waarbij de nadruk ligt op het controleren en uiteindelijk afdwingen van blokkering van cryptografie van NTLMv1. Deze wijzigingen maken deel uit van het bredere initiatief van Microsoft om NTLM af te fasen.
Achtergrond
Microsoft heeft het NTLMv1-protocol (zie Verwijderde functies en functionaliteit) verwijderd uit Windows 11, versie 24H2 en Windows Server 2025 en latere versies. Terwijl het NTLMv1-protocol wordt verwijderd, zijn er echter nog restanten van NTLMv1-cryptografie aanwezig in sommige scenario's, zoals bij het gebruik van MS-CHAPv2 in een domein-gekoppelde omgeving.
Credential Guard biedt volledige bescherming van zowel verouderde NTLMv1-cryptografie als vele andere aanvalsoppervlakken, en daarom raadt Microsoft de implementatie en activering ervan ten zeerste aan als aan de vereisten van Credential Guard wordt voldaan. De toekomstige wijzigingen zijn alleen van invloed op apparaten waarop Credential Guard is uitgeschakeld; als Windows Credential Guard is ingeschakeld op het apparaat, worden de wijzigingen die in dit artikel worden beschreven, niet van kracht.
Doel
Met de afschaffing van NTLM (zie Afgeschafte functies) en het verwijderen van het NTLMv1-protocol, werkt Microsoft aan het voltooien van de uitschakeling van NTLMv1 door het uitschakelen met behulp van van NTLMv1 afgeleide referenties.
Toekomstige wijzigingen
Twee nieuwe wijzigingen, de introductie van een nieuwe registersleutel en nieuwe gebeurtenislogboeken, zijn opgenomen in deze update. Zie de sectie Implementatie van wijzigingen voor een tijdlijn van deze wijzigingen.
Nieuwe registersleutel
Er wordt een nieuwe registersleutel geïntroduceerd, waarbij wordt aangegeven of de wijzigingen zich in de controlemodus of de modus Afdwingen bevinden.
|
Registerlocatie |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Value |
BlockNtlmv1SSO |
|
Type |
REG_DWORD |
|
Gegevens |
|
Nieuwe controlemogelijkheden
-
Bij gebruik van auditinstellingen (standaardinstellingen)
Gebeurtenislogboek
Microsoft-Windows-NTLM/Operational
Gebeurtenistype
Waarschuwing
Bron van gebeurtenis
NTLM
Gebeurtenis-id
4024
Gebeurtenistekst
Een poging controleren om van NTLMv1 afgeleide referenties te gebruiken voor eenmalige aanmelding Doelserver: <domain_name> Opgegeven gebruiker: <user_name> Opgegeven domein: <domain_name> PID van clientproces: <process_identifier> Naam van clientproces: <process_name> LUID van clientproces: <locally_unique_identifier> Gebruikersidentiteit van clientproces: <user_name> Domeinnaam van gebruikersidentiteit van clientproces: <domain_name> Mechanisme-OID: <object_identifier> Zie https://go.microsoft.com/fwlink/?linkid=2321802 voor meer informatie.
-
Wanneer u instellingen afdwingen gebruikt
Gebeurtenislogboek
Microsoft-Windows-NTLM/Operational
Gebeurtenistype
Fout
Bron van gebeurtenis
NTLM
Gebeurtenis-id
4025
Gebeurtenistekst
Een poging om van NTLMv1 afgeleide referenties te gebruiken voor Één Sign-On is geblokkeerd vanwege beleid.Doelserver: <domain_name> Opgegeven gebruiker: <user_name> Opgegeven domein: <domain_name> PID van clientproces: <process_identifier> Naam van clientproces: <process_name> LUID van clientproces: <locally_unique_identifier> Gebruikersidentiteit van clientproces: <user_name> Domeinnaam van gebruikersidentiteit van clientproces: <domain_name> Mechanisme-OID: <object_identifier> Zie https://go.microsoft.com/fwlink/?linkid=2321802 voor meer informatie.
Zie Overzicht van NTLM-controleverbeteringen in Windows 11, versie 24H2 en Windows Server 2025 voor meer informatie over andere controleverbeteringen.
Implementatie van wijzigingen
In september 2025 en latere updates worden de wijzigingen geïmplementeerd naar Windows 11, versie 24H2 en hoger client-besturingssysteem in auditmodus. In deze modus wordt gebeurtenis-id: 4024 geregistreerd wanneer van NTLMv1 afgeleide referenties worden gebruikt, maar de verificatie blijft werken. De implementatie bereikt Windows Server 2025 later in het jaar.
In oktober 2026 stelt Microsoft de standaardwaarde van registersleutel BlockNTLMv1SSO in op 1 (Afdwingen) in plaats van 0 (Audit) als de registersleutel BlockNTLMv1SSO niet is geïmplementeerd op het apparaat.
Tijdlijn
|
Datum |
Wijziging |
|
Eind augustus 2025 |
Controlelogboeken voor NTLMv1-gebruik ingeschakeld op Windows 11, versie 24H2 en nieuwere clients. |
|
november 2025 |
Begin met de implementatie van wijzigingen in Windows Server 2025. |
|
oktober 2026 |
De standaardwaarde van de registersleutel BlockNtlmv1SSO wordt gewijzigd van De controlemodus (0) in de modus Afdwingen (1) via een toekomstige Windows-update, waardoor NTLMv1-beperkingen worden versterkt. Deze wijziging in standaardinstellingen wordt alleen van kracht als de registersleutel BlockNtlmv1SSO niet is geïmplementeerd. |
Opmerking Deze datums zijn voorlopig en kunnen worden gewijzigd.
Veelgestelde vragen (FAQ)
Microsoft gebruikt een methode voor geleidelijke implementatie om een release-update over een bepaalde periode te distribueren, in plaats van allemaal tegelijk. Dit betekent dat gebruikers de updates op verschillende momenten ontvangen en dat deze mogelijk niet direct beschikbaar is voor alle gebruikers.
NTLMv1-afgeleide referenties worden gebruikt door bepaalde protocollen op hoger niveau voor single Sign-On doeleinden; Voorbeelden hiervan zijn Wi-Fi-, Ethernet- en VPN-implementaties met behulp van MS-CHAPv2-verificatie. Net als wanneer Credential Guard is ingeschakeld, werken stromen met één Sign-On voor deze protocollen niet, maar het handmatig invoeren van referenties blijft werken, zelfs in de modus Afdwingen . Zie Overwegingen en bekende problemen bij het gebruik van Credential Guard voor meer informatie en best practices.
De enige overeenkomst tussen deze update en Credential Guard is beveiliging rond gebruikersreferenties van van NTLMv1 afgeleide cryptografie. Deze update biedt niet de brede en robuuste beveiliging van Credential Guard; Microsoft raadt het inschakelen van Credential Guard aan op alle ondersteunde platforms.
