Czy domena może mieć więcej niż jeden rekord SPF?

Nie. Specyfikacja RFC 7208 wymaga dokładnie jednego rekordu SPF na domenę. Jeśli istnieją dwa rekordy TXT zaczynające się od „v=spf1”, oba zwracają błąd PermError, a weryfikacja SPF kończy się całkowitą porażką. Należy połączyć wszystkie autoryzowane źródła w jeden rekord.

Co to znaczy, jeśli moja domena generuje zbyt wiele zapytań DNS?

Twój rekord SPF przekracza limit 10 wyszukiwań DNS określony w RFC 7208. Powoduje to błąd SPF PermError, który uniemożliwia uwierzytelnianie SPF dla wszystkich wiadomości e-mail – nie tylko tych, które spowodowały przekroczenie limitu. Aby zmieścić się w limicie, ogranicz liczbę elementów „includes”, zastąp je formatem „ip4:/ip6:” lub skorzystaj z funkcji spłaszczania SPF lub makr.

Jaka jest różnica między opcją SPF softfail (~all) a hardfail (-all)?

Opcja „softfail” (~all) nakazuje odbiorcom przyjęcie wiadomości e-mail, ale oznaczenie jej jako podejrzaną. Opcja „hardfail” (-all) nakazuje odbiorcom natychmiastowe odrzucenie wiadomości e-mail. Podczas wstępnej konfiguracji i testów należy stosować opcję „softfail”; po potwierdzeniu wszystkich legalnych nadawców i wdrożeniu protokołu DMARC należy przejść na opcję „hardfail”.

Czy protokół SPF zapobiega fałszowaniu adresów e-mail?

Nie samo w sobie. SPF sprawdza nadawcę koperty (Return-Path), a nie nagłówek „From”, który widzą odbiorcy. Atakujący może przejść weryfikację SPF, fałszując widoczny adres „From”. Aby zapobiec fałszowaniu nazwy wyświetlanej, potrzebny jest protokół DMARC, który sprawdza zgodność wyników SPF/DKIM z nagłówkiem „From”.

Co się dzieje, gdy system SPF zawiedzie?

Zależy to od kwalifikatora SPF oraz od tego, czy skonfigurowano DMARC. W przypadku użycia opcji -all i polityki odrzucania DMARC wiadomość zostanie zablokowana. W przypadku użycia opcji ~all i braku DMARC wiadomość może zostać dostarczona, ale zostanie oznaczona jako podejrzana. Jeśli nie ma żadnego SPF, odbiorcy nie mają sygnału SPF do oceny.

Jak sprawdzić swój rekord SPF?

Skorzystaj z bezpłatnego narzędzia do sprawdzania rekordów SPF. Wpisz swoją domenę, a narzędzie pobierze rekord SPF z serwerów DNS, sprawdzi poprawność składni, zliczy liczbę zapytań DNS i wskaże wszelkie błędy – w tym naruszenia związane z błędami PermError i void.

Czy potrzebuję SPF, skoro mam już DKIM i DMARC?

Tak. DMARC wymaga, aby co najmniej jeden z mechanizmów – SPF lub DKIM – przeszedł test i zapewnił zgodność. Chociaż sam DKIM może spełnić wymagania DMARC, posiadanie zarówno SPF, jak i DKIM zapewnia nadmiarowość. Jeśli jeden z nich zawiedzie (na przykład SPF przestaje działać podczas przekazywania wiadomości), drugi nadal może zapewnić zgodność z DMARC.

Co to jest wyrównanie SPF?

Spójność SPF oznacza, że domena w polu Return-Path (nadawca koperty) jest zgodna z domeną w nagłówku From. DMARC sprawdza tę spójność. Bez niej test SPF może zakończyć się powodzeniem, ale test DMARC nadal zakończy się niepowodzeniem – tak właśnie dzieje się w przypadku wielu zewnętrznych nadawców, chyba że są oni skonfigurowani tak, by używać Twojej domeny w polu Return-Path.

Jak często należy aktualizować rekord SPF?

Sprawdzaj swój rekord SPF za każdym razem, gdy dodajesz lub usuwasz usługę wysyłkową, a także przeprowadzaj jego audyt co najmniej raz na kwartał. Rekordy SPF tracą ważność w miarę jak dostawcy zmieniają zakresy adresów IP oraz w miarę ewolucji infrastruktury wysyłkowej Twojej organizacji. Rekord SPF, który był poprawny sześć miesięcy temu, może być dziś nieprawidłowy lub niekompletny.

Czym jest spłaszczanie SPF?

Funkcja spłaszczania adresów w SPF przekształca wszystkie adresy IP na surowe adresy IP, zmniejszając liczbę wyszukiwań w systemie DNS. Dzięki temu nie przekracza się limitu 10 wyszukiwań, ale tworzy się statyczny wpis, który trzeba aktualizować za każdym razem, gdy dostawca zmienia swoje adresy IP. Nowoczesne rozwiązania, takie jak makra SPF, pozwalają zachować dynamiczny charakter wpisu, nie przekraczając jednocześnie limitu.

Wycofanie protokołu NTLM: harmonogram wycofywania przez firmę Microsoft, zagrożenia i przewodnik po migracji

Kluczowe wnioski

Firma Microsoft wprowadza zmiany etapami (audyt → poprawki zapewniające zgodność → domyślne wyłączenie), aby zapewnić organizacjom czas na wykrycie starszych zależności, zanim przestaną one działać.
W październiku 2026 r. firma Microsoft domyślnie ustawi klucz rejestru BlockNTLMv1SSO na wartość „Enforce (1)”, co oznacza, że protokół NTLM w wersji 1 (najstarsza i najsłabsza wersja) zostanie zablokowany w przypadku logowania jednokrotnego (SSO).
Pod koniec 2026 roku firma Microsoft wprowadzi nowe funkcje, które mają wyeliminować przyczyny, dla których użytkownicy korzystali z protokołu NTLM (takie jak logowanie na konta lokalne lub dostęp zdalny w sytuacjach, gdy kontroler domeny nie jest widoczny).
Krok ten jest konieczny, ponieważ protokół NTLM jest podatny na ataki typu „Relay” i „Pass-the-Hash”, które umożliwiają hakerom poruszanie się w sieci w kierunku poprzecznym.
Najpilniejszym zadaniem dla dostawców usług zarządzanych (MSP) jest włączenie jeszcze dzisiaj funkcji „Rozszerzonego audytu”, aby sprawdzić, które ukryte aplikacje lub starsze drukarki nadal korzystają z protokołu NTLM.

Pod koniec 2023 roku firma Microsoft po raz pierwszy ogłosiła swoją inicjatywę „Ewolucja uwierzytelniania w systemie Windows”, która przekształciła się w trzyetapowy plan działania realizowany obecnie do 2026 roku. Protokół NT LAN Manager (NTLM) stanowił podstawę uwierzytelniania w systemie Windows od 1993 roku i służył ekosystemowi przez ponad 30 lat. Chociaż został on formalnie wycofany w połowie 2024 r., harmonogram, którym kierujemy się w 2026 r., jasno pokazuje jedno: NTLM nie jest już problemem „przyszłości”.

Dla dostawców usług zarządzanych (MSP) i zespołów IT zmiana ta stanowi istotną transformację. Audyt w ramach fazy 1 jest obecnie standardem w systemach Windows 11 24H2 i Windows Server 2025, gdzie funkcjonuje od końca 2025 roku. W styczniu 2026 r. firma Microsoft przedstawiła zaktualizowany plan działania mający na celu przejście systemu Windows do stanu domyślnie bezpiecznego. Chociaż protokół sieciowy NTLM zostanie domyślnie wyłączony w nadchodzących latach, pozostaje on w systemie operacyjnym jako rozwiązanie awaryjne, które w razie potrzeby musi zostać wyraźnie włączone przez administratorów; nie jest on jeszcze usuwany z plików systemowych, ale „siatka bezpieczeństwa” zostaje wyeliminowana.

Aby uniknąć zakłóceń w działaniu, organizacje muszą wykorzystać ten okres w połowie 2026 roku na rozpoczęcie audytu i migracji do protokołu Kerberos, zanim ustawienie „domyślnie wyłączone” zacznie obowiązywać w kolejnej dużej wersji systemu Windows Server, która pojawi się po wydaniu Server 2025.

Czym jest NTLM i dlaczego Microsoft zamierza go wycofać?

NTLM (New Technology LAN Manager) to starszy protokół uwierzytelniania, który wykorzystuje mechanizm typu „wyzwanie-odpowiedź” do weryfikacji użytkowników. Od dziesięcioleci służy on jako podstawowe rozwiązanie awaryjne w sytuacjach, gdy protokół Kerberos jest niedostępny, co często wynika z logowania się na konta lokalne, bezpośrednich żądań aplikacji lub braku bezpośredniego połączenia z kontrolerem domeny.

Chociaż firma Microsoft wprowadziła protokół Kerberos jako preferowany ponad 20 lat temu, protokół NTLM pozostał głęboko zakorzeniony jako rozwiązanie awaryjne w niezliczonych starszych środowiskach. Jednak jego przestarzała architektura stwarza szereg poważnych zagrożeń dla bezpieczeństwa, które nie spełniają już współczesnych standardów:

Słaba kryptografia: jej konstrukcja oparta na algorytmach MD4/MD5 jest bardzo podatna na ataki typu offline.
Brak wzajemnego uwierzytelniania: Protokół NTLM weryfikuje jedynie tożsamość klienta, a nie serwera, co naraża połączenie na ataki typu spoofing oraz ataki typu „man-in-the-middle”.
Podatność na atak typu „Pass-the-Hash”: Atakujący mogą wykorzystać skradzione skróty NTLM do uwierzytelnienia się, nie znając hasła użytkownika.
Podatność na ataki typu relay: Atakujący mogą zmusić systemy do uwierzytelniania się na serwerach kontrolowanych przez nich w celu uzyskania wyższych uprawnień.
Ograniczona widoczność audytowa: W przeszłości organizacje miały bardzo ograniczony wgląd w to, gdzie dokładnie i z jakiego powodu uruchamiany był protokół NTLM.

Jak wygląda trzyetapowy harmonogram wycofywania protokołu NTLM przez firmę Microsoft?

Firma Microsoft realizuje proces wycofywania produktu w trzech odrębnych etapach, aby pomóc organizacjom w przejściu na nowe rozwiązania bez zakłócania działania kluczowej infrastruktury.

Faza 1 – Obecnie (dostępna): Ulepszone funkcje audytowe

Ulepszone narzędzia do audytu protokołu NTLM są obecnie dostępne dla systemów Windows Server 2025 i Windows 11 w wersji 24H2. Etap ten opiera się na zasadzie, że nie można przenieść tego, czego nie widać; chodzi tu o stworzenie dokładnego wykazu istniejących zależności.

Szczegółowe rejestrowanie: Administratorzy mogą skorzystać z ustawień zasad grupy, aby dokładnie zarejestrować, gdzie w całym środowisku nadal stosowany jest protokół NTLM.
Termin: październik 2026 r. – domyślne ustawienie klucza rejestru BlockNTLMv1SSO zostanie zmienione z „Audit” na „Enforce”, co w praktyce spowoduje wyłączenie

NTLMv1, o ile administrator nie zmieni tego ustawienia w sposób wyraźny.

Faza 2 – II półrocze 2026 r.: poprawki dotyczące zgodności

Obecnie, na początku 2026 roku, firma Microsoft testuje w ramach programu Windows Insider funkcje mające na celu wyeliminowanie najczęstszych przyczyn przełączania się na protokół NTLM. Należą do nich IAKerb i Local KDC, których powszechne udostępnienie planowane jest na drugą połowę roku.

IAKerb: Umożliwia uwierzytelnianie Kerberos nawet wtedy, gdy kontroler domeny nie jest bezpośrednio dostępny.
Lokalny KDC: Obsługuje lokalne uwierzytelnianie kont bez wymuszania przełączania na protokół NTLM w nowoczesnych systemach.
Zmiany w procesie negocjacji: Podstawowe komponenty systemu Windows zostaną zaktualizowane tak, aby w pierwszej kolejności preferowały negocjacje w protokole Kerberos.

Faza 3 – Kolejna duża aktualizacja systemu Windows Server: domyślnie wyłączona

W następcy systemu Windows Server 2025 (którego premiera przewidziana jest na lata 2027/2028) uwierzytelnianie sieciowe NTLM będzie domyślnie wyłączone. Na razie w systemie Windows Server 2025 protokół NTLM pozostaje domyślnym rozwiązaniem, ale udostępniono w nim ulepszone narzędzia audytowe niezbędne do przygotowania się na to przyszłe wyłączenie.

Bezpieczeństwo domyślne: Protokół NTLM pozostanie w systemie operacyjnym, ale nie będzie działał, dopóki administrator nie włączy go ponownie za pomocą zasad.
Harmonogram: Chociaż etap ten jest powiązany z kolejną dużą aktualizacją, firma Microsoft nie podała jeszcze konkretnej daty jego rozpoczęcia.

Faza	Status	Zmiana tonacji
Faza 1	Zakończone/W trakcie realizacji	Rozszerzone funkcje audytowe są standardem w systemie Windows 11 24H2 / Server 2025.
Faza 2	W przyszłości (druga połowa 2026 r.)	Funkcje IAKerb i Local KDC są obecnie dostępne w wersji Insider Preview.
Faza 3	Przyszłość	Protokół NTLM jest domyślnie wyłączony (funkcja ta ma zostać wprowadzona w kolejnej wersji Long-Term Servicing Channel (LTSC)).

Dlaczego protokół NTLM stanowi zagrożenie dla bezpieczeństwa: ataki, które sprawiają, że jest on niebezpieczny

Rezygnacja z protokołu NTLM wynika z jego roli w współczesnych cyberatakach, gdzie jest on często wykorzystywany do przemieszczania się w sieci i podnoszenia uprawnień.

Pass-the-Hash: Atakujący wykradają skróty NTLM z pamięci (używając narzędzi takich jak Mimikatz) i wykorzystują je do uwierzytelnienia się jako ofiara bez znajomości rzeczywistego hasła. W tym protokole skrót pełni funkcję równoważną hasłu.
Ataki typu NTLM Relay: Atakujący przechwytują próby uwierzytelniania NTLM i przekazują je do innego serwera w celu uzyskania nieuprawnionego dostępu. Luki takie jak PetitPotam, ShadowCoerce i RemotePotato0 pozwalają atakującym ominąć istniejące zabezpieczenia.
Ataki typu „replay”: Przechwycone tokeny można wykorzystać ponownie do uwierzytelnienia się w usługach w późniejszym czasie, nawet bez oryginalnych danych uwierzytelniających.
Łamanie haseł w trybie offline: Szyfrowanie NTLMv1 jest na tyle słabe, że hasła można złamać niemal natychmiast. Chociaż NTLMv2 jest bezpieczniejsze, przy odpowiednim sprzęcie nadal jest podatne na ataki metodą brute force w trybie offline.

Czym różni się protokół NTLM od Kerberos?

Kerberos od ponad 20 lat jest domyślnym protokołem domeny Windows i zapewnia znacznie wyższy poziom bezpieczeństwa. Wykorzystuje on uwierzytelnianie oparte na biletach z tokenami ograniczonymi czasowo oraz wzajemną weryfikację.

Cecha	NTLM	Kerberos
Wzajemne uwierzytelnianie	Nie (tylko dla klientów)	Tak (klient i serwer)
Kryptografia	Słaby (oparty na algorytmach MD4/MD5)	Silny (oparty na AES)
Luka typu „pass-the-hash”	Tak	Nie
Luka umożliwiająca atak typu relay	Tak	W znacznym stopniu złagodzone
Pojedyncze logowanie (SSO)	Ograniczony	Pełne wsparcie
Liczba przesyłek w obie strony w sieci	Więcej (wolniej)	Mniej (szybciej)

Co to oznacza dla dostawców usług zarządzanych (MSP): Skutki dla klientów

Dla dostawców usług zarządzanych (MSP), którzy zarządzają wieloma środowiskami, wycofywanie protokołu NTLM oznacza realizację projektu w każdym z obsługiwanych środowisk.

Wyzwania związane z wykrywaniem: Wykorzystanie protokołu NTLM często pozostaje niezauważalne, dopóki nie dojdzie do awarii. Może ono ujawnić się jedynie w określonych sytuacjach, takich jak awarie kontrolerów domeny, co sprawia, że jego mapowanie jest czasochłonne.
Ryzyko związane z zależnościami aplikacji: Aplikacje biznesowe, serwery drukarek oraz starsze systemy planowania zasobów przedsiębiorstwa (ERP) często zawierają na stałe zakodowane zależności od protokołu NTLM. Dostawcy usług zarządzanych (MSP) muszą współpracować z wieloma dostawcami w ramach obsługi każdego klienta, aby zapewnić aktualizację oprogramowania pod kątem protokołu Kerberos.
Obciążenie związane z testowaniem: Każda aplikacja musi zostać poddana walidacji w testowych środowiskach nieprodukcyjnych z wyłączonym protokołem NTLM, aby wykryć ewentualne problemy, zanim przełożą się one na środowisko produkcyjne.
Komunikacja z klientami: W związku z przygotowaniami firmy Microsoft do wprowadzenia kolejnej wersji Long-Term Servicing Channel (LTSC) dostawcy usług zarządzanych (MSP) powinni poinformować klientów o zmianie protokołu NTLMv1, przedstawiając ją jako proaktywne ulepszenie bezpieczeństwa, a nie jako utrudnienie.
Możliwości świadczenia usług: Audyt, analiza zależności i planowanie migracji stanowią dla dostawców usług zarządzanych (MSP) wyraźną ofertę usług, za które można pobierać opłaty.

W jaki sposób wycofanie protokołu NTLM wiąże się z bezpieczeństwem poczty elektronicznej?

Wycofanie tego protokołu stanowi część szerszych działań zmierzających do wprowadzenia odpornego na phishing systemu uwierzytelniania bez haseł. Ataki typu NTLM relay często rozpoczynają się od przejęcia danych logowania do poczty elektronicznej; gdy atakujący uzyska dostęp w wyniku phishingu, przechodzi do przemieszczania się w sieci przy użyciu protokołu NTLM.

Wdrożenie protokołów uwierzytelniania poczty elektronicznej, takich jak DMARC, SPF i DKIM, chroni przed metodą często wykorzystywaną do kradzieży danych uwierzytelniających. Wymagania firmy Microsoft dotyczące nadawców w programie Outlook (obowiązujące od maja 2025 r.) wpisują się w tę tendencję i nakładają na nadawców masowych obowiązek stosowania tych protokołów.

Ta transformacja sieci stanowi dla dostawców usług zarządzanych (MSP) doskonałą okazję do przeglądu całego obszaru zabezpieczeń tożsamości. Podczas gdy protokół Kerberos chroni sieć wewnętrzną, protokoły takie jak DMARC i SPF zabezpieczają bramę pocztową – najczęstszy punkt wejścia dla kradzieży danych uwierzytelniających, która prowadzi do ataków typu NTLM relay.

Plan działania: co zespoły IT i dostawcy usług zarządzanych (MSP) powinni zrobić teraz

Oto kilka kroków, które możesz i powinieneś podjąć już teraz:

Włącz rozszerzone funkcje audytu i przechowywania logów
Natychmiast wdroż ustawienia zasad grupy umożliwiające szczegółowe rejestrowanie zdarzeń w nowoczesnych środowiskach Windows. Dzięki temu uzyskasz dostęp do nieprzetworzonych logów uwierzytelniania oraz danych dostawcy tożsamości, niezbędnych do ustalenia, skąd dokładnie zalogował się atakujący. Skorzystaj z narzędzi do generowania skrótów, aby utworzyć skróty SHA-256 tych plików, co zapewni, że dowody pozostaną nienaruszone na potrzeby postępowania sądowego lub ubezpieczeniowego.
Stwórz wykaz zależności i przeprowadź audyt mechanizmów utrzymywania dostępu
Oprócz samego udokumentowania systemów uruchamiających protokół NTLM należy sporządzić wykaz „ukrytych” mechanizmów utrzymywania dostępu. Obejmuje to identyfikację nieautoryzowanych reguł przekierowywania skrzynek pocztowych oraz uprawnień aplikacji stron trzecich korzystających z protokołu OAuth, które mogłyby umożliwić atakującemu obejście przyszłych zmian hasła.
Nawiązanie kontaktu z dostawcami i egzekwowanie nowoczesnych standardów
Należy zweryfikować plany wdrożenia obsługi protokołu Kerberos w kluczowym oprogramowaniu, a także zachęcać dostawców do stosowania odpornych na phishing metod uwierzytelniania wieloskładnikowego (MFA), takich jak FIDO2/WebAuthn. Należy odejść od przestarzałych powiadomień SMS-owych lub push, ponieważ współczesni cyberprzestępcy z łatwością potrafią je ominąć.
Konfiguracje testowe i procedury unieważniania
Skonfiguruj środowiska testowe w celu przetestowania konfiguracji z wyłączonym protokołem NTLM. Jednocześnie opracuj i przetestuj zautomatyzowane procedury służące do unieważniania aktywnych tokenów sesji oraz odświeżania tokenów. Ponieważ sama zmiana hasła nie powstrzyma atakującego, który wykradł plik cookie logowania, Twój zespół musi mieć możliwość natychmiastowego wywołania globalnego wylogowania.
Przygotuj się na terminy obowiązkowego wdrożenia
Potraktuj nadchodzące zmiany w systemie jako ostateczny termin na wzmocnienie zabezpieczeń swojej domeny. Częścią tych przygotowań powinno być wdrożenie protokołu DMARC z polityką p=reject. Zapobiega to „podszywaniu się” pod Twoją domenę przez atakujących w celu wysyłania wiadomości e-mail, które wyglądają, jakby pochodziły z Twojej firmy.
Sprawdź działanie nowych scenariuszy przy użyciu IAKerb i lokalnego serwera KDC
Wraz z pojawieniem się nowych funkcji uwierzytelniania w drugiej połowie 2026 r. sprawdź, czy są one odpowiednio dostosowane do Twojego środowiska. Na tym etapie upewnij się również, że skanujesz system w poszukiwaniu bezplikowych ładunków i złośliwych skryptów (takich jak taktyka „ClickFix”), które mogły ominąć tradycyjne bramy zabezpieczające w okresie przejściowym

Uwaga dotycząca stabilności lokalnego serwera KDC: Niektóre zespoły IT testujące funkcję lokalnego serwera KDC w systemie Windows 11 24H2 zgłaszały wystąpienie zdarzenia o identyfikatorze 7031 (zakończenie działania usługi). Jeśli napotkasz ten problem, upewnij się, że usługa jest skonfigurowana na uruchamianie automatyczne (z opóźnieniem), aby zapobiec jej awarii podczas początkowej sekwencji uruchamiania, zanim zostaną przygotowane zależności sieciowe.

Podsumowanie

Wycofanie protokołu NTLM stanowi ważny krok w kierunku stworzenia nowoczesnej, odpornej na ataki phishingowe bariery zabezpieczającej tożsamość, jednak uwierzytelnianie sieciowe to tylko połowa sukcesu. Ataki typu NTLM relay oraz ataki polegające na przemieszczaniu się w sieci często rozpoczynają się od przejęcia jednego zestawu danych logowania do poczty elektronicznej. Atakujący, któremu uda się wyłudzić dane od pracownika, może wykorzystać ten punkt wejścia do przedostania się do sieci wewnętrznej i wykorzystania starszych protokołów, takich jak NTLM.

Zrozumienie pełnego zakresu wycofywania protokołu NTLM oznacza uświadomienie sobie, że zabezpieczenie kanału komunikacji e-mailowej jest równie istotne, jak migracja protokołów uwierzytelniania.

Aby naprawdę chronić swoich klientów, należy zabezpieczyć zarówno sieć wewnętrzną, jak i zewnętrzny kanał komunikacji e-mailowej. Podobnie jak firma Microsoft dąży do tego, by system Windows był domyślnie bezpieczny, tak samo branża poczyniła kroki w tym kierunku w odniesieniu do poczty elektronicznej, wprowadzając protokoły DMARC, SPF i DKIM. Protokoły te zapobiegają początkowym próbom sfałszowania tożsamości i kradzieży danych uwierzytelniających, które sprawiają, że luki w zabezpieczeniach sieci wewnętrznej są tak niebezpieczne.

Nie zostawiaj „drzwi wejściowych” otwartych, gdy zamykasz wewnętrzne pomieszczenia biurowe. Sprawdzając, czy u klientów występują zależności związane z protokołem NTLM, upewnij się, że ich domeny pocztowe są równie dobrze zabezpieczone przed podszywaniem się.

Poznaj program partnerski PowerDMARC dla dostawców usług zarządzanych , aby uprościć wdrożenie DMARC i zapewnić swoim klientom kompleksową strategię głębokiej ochrony, obejmującą zarówno uwierzytelnianie sieciowe, jak i pocztowe.

Najczęściej zadawane pytania

Czy protokół NTLM zostanie usunięty z systemu Windows?

W połowie 2024 roku został on oficjalnie uznany za przestarzały. Chociaż protokół NTLM w sieci zostanie domyślnie zablokowany w kolejnej dużej aktualizacji systemu Windows Server, pozostanie on w systemie operacyjnym i w razie potrzeby będzie można go ponownie włączyć za pomocą zasad.

Co zastąpi protokół NTLM?

Kerberos stanowi jego następcę, oferując nowoczesną kryptografię opartą na algorytmie AES oraz odporność na ataki typu relay. Funkcje fazy 2 (IAKerb i Local KDC) mają na celu wyeliminowanie ostatnich przyczyn stosowania protokołu NTLM jako rozwiązania awaryjnego.

Czym jest atak typu NTLM relay?

Dochodzi do tego, gdy osoba atakująca przechwytuje próbę uwierzytelnienia i przekazuje ją do innego serwera, aby uzyskać dostęp bez znajomości hasła ofiary.

Czy protokół NTLM można ponownie włączyć po zakończeniu fazy 3?

Tak, można to wyraźnie ponownie włączyć za pomocą ustawień zasad, ale powinno to stanowić jedynie tymczasowe rozwiązanie awaryjne na czas usuwania usterki, a nie długoterminową strategię

Kiedy protokół NTLM zostanie domyślnie wyłączony?

Audyt w ramach fazy 1 jest już dostępny. Poprawki zapewniające zgodność w ramach fazy 2 (IAKerb i lokalne centrum dystrybucji kluczy) pojawią się w drugiej połowie 2026 r. dla systemów Windows Server 2025 i Windows 11 24H2. Faza 3, w której protokół NTLM będzie domyślnie wyłączony, jest powiązana z kolejną główną wersją systemu Windows Server w ramach kanału długoterminowej obsługi (LTSC), jednak firma Microsoft nie podała jeszcze konkretnej daty. Ponadto zmiany dotyczące egzekwowania NTLMv1 są zaplanowane na październik 2026 r., co stanowi najbliższy ostateczny termin wymagający podjęcia działań.

Co powinni zrobić dostawcy usług zarządzanych (MSP), aby przygotować się na wycofanie protokołu NTLM?

Rozpocznijcie od razu od etapu 1: włączcie rozszerzone audyty NTLM we wszystkich środowiskach klienckich, aby zidentyfikować miejsca, w których protokół ten jest nadal używany. Sporządźcie wykaz zależności, skontaktujcie się z dostawcami aplikacji i rozpocznijcie testowanie konfiguracji bez NTLM w środowiskach nieprodukcyjnych. Zmiana dotycząca egzekwowania wycofania NTLMv1 w październiku 2026 r. to najbliższy ostateczny termin wymagający podjęcia działań. Potraktuj harmonogram wycofywania NTLM jako projekt obejmujący wszystkich klientów, a nie pojedynczą migrację, i wykorzystaj go jako okazję do zaoferowania audytu i migracji do Kerberos jako usługi rozliczanej.

O
Latest Posts

Milena Baghdasaryan

Specjalista ds. treści w PowerDMARC

Milena jest wykwalifikowaną pisarką i twórczynią treści z ponad 7-letnim doświadczeniem w tworzeniu angażujących treści na temat IT, cyberbezpieczeństwa, wirtualnych wydarzeń i nie tylko. Ma udokumentowane doświadczenie w dostarczaniu wysokiej jakości prac dla międzynarodowych magazynów i jest absolwentką prestiżowych instytucji, takich jak New York University Abu Dhabi, UWC China i College of Europe.

Najnowsze posty autorstwa Milena Baghdasaryan (zobacz wszystkie)

Jak skonfigurować uwierzytelnianie poczty e-mail dla nowo zarejestrowanej domeny - 2 czerwca 2026 r.
Czym jest link phishingowy? - 19 maja 2026 r.
Czym są ataki haktywistów i jak działają – 12 maja 2026 r.

Wycofanie protokołu NTLM: co oznacza to dla dostawców usług zarządzanych (MSP) i zespołów IT