Блокировка NTLM подключений в Windows 11 и Windows Server 2025

Microsoft завершает переход от устаревшего и небезопасного протокола NTLM. В Windows 11 версии 24H2 и Windows Server 2025 отключена поддержка NTLMv1, а в дальнейшем предусмотрено отключение NTLMv2.

Ошибки при подключении

При попытке подключения к удалённым ресурсам, использующим только NTLMv1, пользователи столкнутся с ошибками, например:

• "Authentication failed because NTLM authentication has been disabled."
• Код ошибки: 1937 (0x791)

Также возможны проблемы с удаленным доступом через RDP. Ошибка может звучать как:

• "An authentication error has occurred. The function requested is not supported."

Аудит использования NTLM

В новых версиях Windows добавлены функции аудита NTLM. При попытке использования NTLM записываются события в журнале Event Viewer. Это поможет определить:

• Процесс и пользователя, запросивших аутентификацию.
• Версию NTLM.
• Имя и IP-адрес удалённого устройства.

События могут сообщать как о разрешённых попытках использования NTLMv2, так и о попытках подключений через небезопасный NTLMv1.

Изменения в SMB

Теперь имеется возможность полностью блокировать NTLM для SMB аутентификации:

• Для запрета использования NTLM на всех клиентах:
  Set-SMbClientConfiguration -BlockNTLM $true

• Для исключения конкретного сервера из блока:
  Set-SmbClientConfiguration -BlockNTLMServerExceptionList "192.168.15.21,*.contoso.com"


Защита от атак

Добавлено ограничение времени между неудачными попытками аутентификации, что помогает защитить SMB сервер от брутфорса. Параметр называется Enable authentication rate limiter и по умолчанию установлен на 2000 мс.

Все изменения помогут улучшить безопасность и управляемость при использовании новых технологий аутентификации в Windows, избавляя от рисков, связанных со старыми протоколами.