Data de publicação original: 29 de agosto de 2025
ID da BDC: 5066470
Introdução
Este artigo detalha as alterações recentes e futuras no Windows 11, versão 24H2 e Windows Server 2025, com foco na auditoria e eventual imposição da criptografia derivada de NTLMv1. Estas alterações fazem parte da iniciativa mais ampla da Microsoft de eliminar gradualmente o NTLM.
Fundo
A Microsoft removeu o protocolo NTLMv1 (consulte Funcionalidades removidas) de Windows 11, versão 24H2 e Windows Server 2025 e versões posteriores. No entanto, embora o protocolo NTLMv1 seja removido, os restos da criptografia NTLMv1 ainda estão presentes em alguns cenários, como quando utiliza MS-CHAPv2 num ambiente associado a um domínio.
O Credential Guard fornece proteção completa da criptografia legada NTLMv1 e de muitas outras superfícies de ataque, pelo que a Microsoft recomenda vivamente a sua implementação e ativação se os requisitos do Credential Guard forem cumpridos. As próximas alterações afetam apenas os dispositivos em que o Credential Guard está desativado; Se o Windows Credential Guard estiver ativado no dispositivo, as alterações descritas neste artigo não entrarão em vigor.
Objetivo
Com a preterição do NTLM (veja Funcionalidades preteridas) e a remoção do protocolo NTLMv1, a Microsoft está a trabalhar para finalizar a desativação de NTLMv1 ao desativar a utilização de credenciais derivadas de NTLMv1.
Alterações futuras
Estão incluídas nesta atualização duas novas alterações, a introdução de uma nova chave de registo e novos registos de eventos. Para obter uma linha cronológica destas alterações, consulte a secção Implementação de alterações .
Nova chave de registo
É introduzida uma nova chave de registo, que indica se as alterações estão no Modo de auditoria ou no modo Impor.
|
Localização do registo |
HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0 |
|
Value |
BlockNtlmv1SSO |
|
Type |
REG_DWORD |
|
Dados |
|
Novas capacidades de auditoria
-
Ao utilizar as definições de Auditoria (predefinição)
Registo de Eventos
Microsoft-Windows-NTLM/Operacional
Tipo de Evento
Aviso
Origem do Evento
NTLM
ID de Evento
4024
Texto do Evento
Auditar uma tentativa de utilizar credenciais derivadas de NTLMv1 para o Início de Sessão Único Servidor de destino: <domain_name> Utilizador fornecido: <user_name> Domínio fornecido: <domain_name> PID do processo de cliente: <process_identifier> Nome do processo de cliente: <process_name> LUID do processo de cliente: <locally_unique_identifier> Identidade do utilizador do processo de cliente: <user_name> Nome de domínio da identidade de utilizador do processo de cliente: <domain_name> OID do mecanismo: <object_identifier> Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2321802.
-
Ao utilizar a opção Impor definições
Registo de Eventos
Microsoft-Windows-NTLM/Operacional
Tipo de Evento
Erro
Origem do Evento
NTLM
ID de Evento
4025
Texto do Evento
Uma tentativa de utilizar credenciais derivadas de NTLMv1 para Sign-On Único foi bloqueada devido à política.Servidor de destino: <domain_name> Utilizador fornecido: <user_name> Domínio fornecido: <domain_name> PID do processo de cliente: <process_identifier> Nome do processo de cliente: <process_name> LUID do processo de cliente: <locally_unique_identifier> Identidade do utilizador do processo de cliente: <user_name> Nome de domínio da identidade de utilizador do processo de cliente: <domain_name> OID do mecanismo: <object_identifier> Para obter mais informações, consulte https://go.microsoft.com/fwlink/?linkid=2321802.
Para obter mais informações sobre outros melhoramentos de auditoria, veja Descrição geral das melhorias da auditoria NTLM no Windows 11, versão 24H2 e Windows Server 2025.
Implementação de alterações
Em setembro de 2025 e atualizações posteriores, as alterações serão implementadas para Windows 11, versão 24H2 e SO cliente posterior no modo de Auditoria. Neste modo, o ID do Evento: 4024 será registado sempre que forem utilizadas credenciais derivadas de NTLMv1, mas a autenticação continuará a funcionar. A implementação chegará Windows Server 2025 no final do ano.
Em outubro de 2026, a Microsoft definirá o valor predefinido da chave de registo BlockNTLMv1SSO como 1 (Impor) em vez de 0 (Auditoria) se a chave de registo BlockNTLMv1SSO não tiver sido implementada no dispositivo.
Linha cronológica
|
Data |
Alteração |
|
Final de agosto de 2025 |
Registos de auditoria para a utilização NTLMv1 ativada no Windows 11, versão 24H2 e clientes mais recentes. |
|
Novembro de 2025 |
Iniciar a implementação de alterações no Windows Server 2025. |
|
Outubro de 2026 |
O valor predefinido da chave de registo BlockNtlmv1SSO é alterado de Modo de auditoria (0) para Modo de imposição (1) através de uma futura atualização do Windows, reforçando as restrições NTLMv1. Esta alteração nas predefinições só entra em vigor se a chave de registo BlockNtlmv1SSO não tiver sido implementada. |
Nota Estas datas estão em modo de tentativa e estão sujeitas a alterações.
Perguntas mais frequentes (FAQ)
A Microsoft utiliza um método de implementação gradual para distribuir uma atualização de versão durante um período de tempo, em vez de todas ao mesmo tempo. Isto significa que os utilizadores recebem as atualizações em alturas diferentes e podem não estar imediatamente disponíveis para todos os utilizadores.
As credenciais derivadas de NTLMv1 são utilizadas por determinados protocolos de nível superior para fins de Sign-On único; Os exemplos incluem implementações Wi-Fi, Ethernet e VPN com MS-CHAPv2 autenticação. Da mesma forma que quando o Credential Guard está ativado, os fluxos de Sign-On único para estes protocolos não funcionariam, mas a introdução manual de credenciais continuará a funcionar mesmo no modo Impor . Para obter mais informações e melhores práticas, veja Considerações e problemas conhecidos ao utilizar o Credential Guard.
A única semelhança entre esta atualização e o Credential Guard são as proteções em torno das credenciais de utilizador da criptografia derivada de NTLMv1. Esta atualização não fornece a proteção ampla e robusta do Credential Guard; A Microsoft recomenda a ativação do Credential Guard em todas as plataformas suportadas.
