مایکروسافت حذف کامل NTLMv1 را آغاز کرد | جزئیات تغییرات امنیتی ویندوز 11 و سرور 2025

سال گذشته در ماه دسامبر، مایکروسافت شروع به کنار گذاشتن تمامی نسخه‌های پروتکل NTLM (NT LAN Manager) در ویندوز 11 نسخه 24H2 و ویندوز سرور 2025 کرد. این به معنای آن بود که توسعه فعال آن متوقف شده، پشتیبانی کاهش یافته و به‌زودی حذف کامل خواهد شد. این استاندارد در دنیای مدرن آسیب‌پذیر ثابت شده و مایکروسافت توصیه کرده است که از روش‌های مدرن احراز هویت مانند Kerberos استفاده شود.

نسخه NTLMv1 در ویندوز 24H2 و سرور 2025 به طور کامل حذف شده و به همین دلیل مایکروسافت اخیراً چندین مقاله راهنما در این زمینه منتشر کرده است. سایت Neowin هنگام مرور، متوجه این مقالات شد.

در ماه ژوئیه، مایکروسافت مقاله‌ای درباره تغییرات مربوط به ممیزی (Auditing) در NTLM منتشر کرد. این قابلیت برای کمک به مدیران فناوری اطلاعات و مدیران سیستم طراحی شده تا بتوانند استفاده از NTLM را در سازمان‌های خود شناسایی کنند. مایکروسافت می‌داند که با وجود حذف NTLM، برخی سازمان‌ها همچنان به احراز هویت قدیمی NTLM متکی هستند، بنابراین داشتن ابزارهایی از این دست بسیار حیاتی است.

این راهنمای رسمی به مدیران آموزش می‌دهد که چگونه تنظیمات NTLM را با استفاده از خط‌مشی گروهی (Group Policy) جدید به نام “NTLM Enhanced Logging” برای ثبت گزارش در سمت کلاینت و سرور، یا “Log Enhanced Domain-wide NTLM Logs” برای ثبت گزارش در سطح دامنه پیکربندی کنند.

در حالی که اولین مقاله راهنما بر ممیزی از طریق Group Policy تمرکز داشت، مقاله دوم اطلاعاتی درباره اضافه شدن یک کلید جدید در رجیستری برای بخش‌های “ممیزی” و “اجرا” (enforcement) در Credential Guard ارائه می‌دهد تا از رمزنگاری NTLMv1 جلوگیری شود. همان‌طور که از نام آن پیداست، Credential Guard با کمک VBS (Virtualization-Based Security) اطلاعات ورود را به‌طور ایمن از دسترسی غیرمجاز محافظت می‌کند و این ویژگی می‌تواند امنیت هش‌های رمز عبور NTLM را تقویت کند.

جزئیات کلید رجیستری جدید به شرح زیر است:

محل رجیستری

HKLMSYSTEMcurrentcontrolsetcontrollsamsv1_0

مقدار (Value)

BlockNtlmv1SSO

نوع (Type)

REG_DWORD

داده (Data)

• مقدار 0 (پیش‌فرض): درخواست تولید اعتبارنامه‌های NTLMv1 برای کاربر وارد شده، ثبت و بررسی می‌شود اما اجازه موفقیت دارد. رویدادهای هشدار ایجاد می‌شوند. این حالت Audit mode نام دارد.

• مقدار 1: درخواست تولید اعتبارنامه‌های NTLMv1 برای کاربر وارد شده مسدود می‌شود. رویدادهای خطا ایجاد می‌شوند. این حالت Enforce mode نام دارد.

مایکروسافت همچنین جدول زمان‌بندی اجرای این تغییرات را منتشر کرده است:

تاریخ – تغییرات

• اواخر اوت 2025: فعال شدن ثبت گزارش برای استفاده از NTLMv1 در ویندوز 11 نسخه 24H2 و نسخه‌های جدیدتر کلاینت.

• نوامبر 2025: آغاز اجرای تغییرات در ویندوز سرور 2025.

• اکتبر 2026: مقدار پیش‌فرض کلید رجیستری BlockNtlmv1SSO از حالت Audit mode (0) به Enforce mode (1) تغییر می‌کند. این تغییر از طریق یک به‌روزرسانی آینده ویندوز انجام خواهد شد و محدودیت‌های NTLMv1 را سخت‌گیرانه‌تر می‌سازد. این تغییر پیش‌فرض تنها در صورتی اعمال می‌شود که کلید رجیستری BlockNtlmv1SSO توسط کاربر یا مدیر سیستم از قبل تنظیم نشده باشد.