Ferreira Manuel 
111
A Microsoft confirmou que vai desactivar, por defeito, o protocolo de autenticação “New Technology LAN Manager” (NTLM) nas próximas versões do Windows Server e dos sistemas cliente associados, devido aos riscos de segurança associados a vulnerabilidades conhecidas que expõem organizações a ataques cibernéticos.
Trata-se de um protocolo de autenticação do tipo desafio-resposta introduzido em 1993, com o Windows NT 3.1, como sucessor do LAN Manager. Apesar de ter sido substituído pelo Kerberos como protocolo padrão a partir do Windows 2000, o NTLM continua a ser utilizado como mecanismo alternativo sempre que o Kerberos não está disponível.
Segundo explica a Microsoft, o protocolo legado usa criptografia considerada fraca e tem sido explorado ao longo dos anos em ataques de retransmissão NTLM, permitindo a agentes maliciosos escalar privilégios e obter controlo total sobre domínios Windows.
O NTLM, prossegue, também tem sido alvo frequente de ataques de “passagem de hash”, nos quais atacantes obtêm hashes de palavras-passe para se autenticar como utilizadores legítimos, facilitando o roubo de dados sensíveis e a propagação lateral dentro das redes corporativas.
Assim, a sua desactivação alinha-se à intenção da Microsoft em promover métodos de autenticação sem palavra-passe e resistentes a phishing. A empresa sublinha, no entanto, que a medida não implica a remoção total do protocolo do sistema operativo, mas sim a sua inibição automática em ambientes padrão.
“Desactivar o NTLM por defeito não significa removê-lo completamente do Windows. Significa fornecer o sistema operativo num estado seguro, em que a autenticação NTLM de rede é bloqueada e deixa de ser utilizada automaticamente”, explicou a empresa.
Para facilitar a transição, a Microsoft definiu um plano em três fases. Na primeira, os administradores poderão recorrer a ferramentas de auditoria melhoradas no Windows 11 24H2 e no Windows Server 2025 para identificar onde o NTLM continua em uso.
A segunda fase, prevista para o segundo semestre do ano em curso, introduzirá novas funcionalidades, como o IAKerb e um Centro de Distribuição de Chaves Local, destinadas a reduzir a dependência do NTLM em cenários comuns.
A fase final prevê a desactivação do NTLM de rede por defeito em versões futuras do Windows, mantendo, no entanto, a possibilidade de reactivação explícita através de políticas de sistema, quando necessário por razões de compatibilidade.
