Microsoft wil authenticatieprotocol NTLM op termijn uit Windows 11 verwijderen

Microsoft wil NTLM uit Windows 11 halen. Het besturingssysteem moet dan volledig over op Kerberos als authenticatieprotocol, met nieuwe achtervangmethodes voor als Kerberos niet goed werkt. Kerberos krijgt een toevoeging waardoor dat in de toekomst ook lokaal werkt.

Microsoft schrijft in een blogpost dat het op termijn van NT Lan Manager, of NTLM, af wil. Daar is op dit moment nog geen concreet plan voor, zegt Microsoft. Het bedrijf wil aanvankelijk meer beheersopties voor NTLM toevoegen waarmee systeembeheerders in kaart kunnen brengen hoe vaak NTLM wordt gebruikt. De logs worden bijvoorbeeld gedetailleerder en beheerders krijgen de optie om NTLM specifieker per gebruiker uit te rollen of bepaalde uitzonderingsregels op te stellen.

Niet alleen beheerders, maar ook Microsoft wil meer van zulke inzichten krijgen. Het bedrijf zegt een 'datagedreven aanpak' op te zetten om te kijken 'wanneer het veilig is om NTLM-gebruik uit te schakelen'. In de toekomst moet het protocol dan standaard worden uitgeschakeld, maar er blijft volgens Microsoft een mogelijkheid het weer opnieuw in te schakelen. Microsoft raadt beheerders en ontwikkelaars aan in kaart te brengen waar ze NTLM nog gebruiken. Het bedrijf zegt dat dat mogelijk ook hardcoded in applicaties staat en dat ontwikkelaars daar ook op moeten letten. Microsoft gaat dat ook voor Windows 11 doen; die componenten worden vervangen door een dynamische component die in de eerste plaats Kerberos gebruikt.

NT Lan Manager is een authenticatieprotocol in Windows, maar het wordt al jaren niet meer als standaard gebruikt. Sinds 2000 heeft Kerberos die rol al, maar NTLM heeft verschillende voordelen die Kerberos niet heeft. De voornaamste ervan is dat NTLM het enige ondersteunde protocol is voor lokale accounts, maar NTLM heeft ook geen lokale verbinding nodig met een domaincontroller. In gevallen waarbij zulke verbindingen de enige opties zijn, valt Windows nog automatisch terug op NTLM.

Microsoft zegt dat er voor die processen alternatieven zullen komen in Windows 11. Een daarvan is IAKerb, wat staat voor Initial and Pass Through Authentication Using Kerberos. Daarmee kan een client zonder verbinding met een domaincontroller alsnog zo'n verbinding opzetten door de handshake via Windows te laten verlopen. Ook komt er een lokaal Key Distribution Center voor Kerberos waarmee authenticatie op afstand kan plaatsvinden.

Reacties (72)

kokx 12 oktober 2023 10:23

Dit is een ontzettend goed idee. NTLM is zo onveilig als het maar zijn kan. Via dit protocol is het namelijk mogelijk om met een hash van een gebruiker in te loggen op een computer via bijvoorbeeld SMB of RDP.

Oftewel, als een server waarop een administrator is ingelogd gecompromitteerd is, is het mogelijk om het geheugen van het lsass-proces uit te lezen en daarmee dus de wachtwoordhash van de administrator te verkrijgen. Daarmee is het dan mogelijk om op andere computers in te loggen met de rechten van die administrator.

Dit is de manier waarop ransomware-actoren volledige organisaties plat kunnen leggen nadat ze binnen zijn gekomen via bijvoorbeed phishing.

MAX3400

Microsoft

@kokx • 12 oktober 2023 11:34

Dit is een ontzettend goed idee. NTLM is zo onveilig als het maar zijn kan.
...
Dit is de manier waarop ransomware-actoren volledige organisaties plat kunnen leggen nadat ze binnen zijn gekomen via bijvoorbeed phishing.

Phishing is gewoon dom/moedwillig je credentials en andere authenticatie overhandigen; daar heb je dus helemaal geen compromised server / hash / NTLM voor nodig.

Daarnaast zijn er voldoende organisaties die RBAC, IAM, JIT/JEA hebben ingericht dus het is zeer goed mogelijk dat die organisaties minder last hebben van compromised NTLM omdat de password-hash van "administrator A" op computer 4 helemaal niet herbruikbaar is op elke andere computer.

als een server waarop een administrator is ingelogd gecompromitteerd is

Zoals het artikel beschrijft, gaat het niet alleen over "server" (what's in a name); Microsoft gaat in ieder geval beginnen om client-OS'en zoals Windows 11 te ontdoen van NTLM.

kokx @MAX3400 • 12 oktober 2023 12:18

Phishing is gewoon dom/moedwillig je credentials en andere authenticatie overhandigen; daar heb je dus helemaal geen compromised server / hash / NTLM voor nodig.

Die heb je daar inderdaad niet voor nodig. Maar mocht je met die credentials op een systeem in kunnen loggen binnen een organisatie en dat misbruiken om daar dus de wachtwoordhash van een administrator kunnen lezen, schaalt dat in een klap door naar een hogere impact.

Overigens is phishing niet alleen het dom of moedwillig invullen van inloggegevens. Spearphishing is vaak erg geraffineerd en daar trappen behoorlijk wat mensen in. Zie bijvoorbeeld ook de CEO-fraude van de laatste jaren.

Daarnaast zijn er voldoende organisaties die RBAC, IAM, JIT/JEA hebben ingericht dus het is zeer goed mogelijk dat die organisaties minder last hebben van compromised NTLM omdat de password-hash van "administrator A" op computer 4 helemaal niet herbruikbaar is op elke andere computer.

RBAC is slechts een autorisatiemodel, dat dus niets te maken heeft met authenticatie (waar het hier mis gaat). Daarnaast leunen vrijwel alle IAM systemen voor authenticatie op Windows-systemen nog steeds op Active Directory. Daarbij veranderen de inlogmethoden niet, en blijven gewoon de hashes van ingelogde administrators in het geheugen staan en kunnen deze gewoon gebruikt worden om in te loggen. Tenzij de administrator bijvoorbeeld aan de Protected Users groep in AD is toegevoegd, dan mag NTLM authenticatie met een administrator niet.

Overigens is dit in mijn ervaring (het testen van organisaties precies op dit gebied) niet het geval. JIT/JEA of the principle of least privilege worden vaak slecht of maar mondjesmaat toegepast binnen een organisatie. Ook zijn er vaak veel uitzonderingen hierop.

Zoals het artikel beschrijft, gaat het niet alleen over "server" (what's in a name); Microsoft gaat in ieder geval beginnen om client-OS'en zoals Windows 11 te ontdoen van NTLM.

Klopt! Ik verwacht overigens dat dit ertoe gaat leiden dat dit in volledigheid uitgeschakeld zal worden voor alle Windows systemen. Daarnaast zijn er nog andere aanvallen van toepassing op NTLM, zoals relaying-aanvallen (waarbij je dus de authenticatie van een gebruiker doorstuurt naar een ander systeem om zo rechten op dat systeem te krijgen) en het onderscheppen van wachtwoordenhashes van gebruikers die authenticeren naar andere systemen. Dat zal hiermee hopelijk opgelost worden.

xSNAKEX @kokx • 12 oktober 2023 16:30

Je kan bij phishing er over discussiëren of het dom is, maar moedwillig is het natuurlijk altijd wel.

!GN!T!ON @xSNAKEX • 12 oktober 2023 22:33

Als ik even de definitie(s) van moedwillig erbij pak dan weet ik niet of je dat zo kan zeggen.

met boos opzet, Malicieus, Express

Zijn geen dingen die ik zou toekennen aan een slachtoffer van phising. Ik ken moedwillig zelf in de trent van "je wist dat het schade zou veroorzaken aan iets of iemand maar je doet het toch". Die "je wist dat" mist m.i. bij phising aanvallen vaak. (kom je weer terug op de discussie "dom")

[Reactie gewijzigd door !GN!T!ON op 22 juli 2024 15:42]

xSNAKEX @!GN!T!ON • 13 oktober 2023 11:11

Cherry picken is natuurlijk wel een beetje flauw dan he

1) Baldadig 2) Bewust 3) Boos opzet 4) Expres 5) Kwaadwillig 6) Malicieus 7) Met opzet 8 ) Opzettelijk 9) Voorbedacht 10) Weloverwogen 11) Wetens
Bewust, Weloverwogen en wetens past geloof ik toch wel?
Verzekeringstechnisch is er vaak ook de vraag of iets onder dwang of afdreiging is gebeurt. Het punt is dat, dat toch zeker niet het geval is.

[Reactie gewijzigd door xSNAKEX op 22 juli 2024 15:42]

bzuidgeest @kokx • 12 oktober 2023 11:28

Als een machine dusdanig is gecompromitteerd dat ze het geheugen van de admin processen kunnen doorharken, ben je sowieso al de sjaak. Die hash is dan de minste van je problemen. Als het die hash niet is dan zijn ze zo ver binnen dat ze wel een andere route verder kunnen vinden ook.

kokx @bzuidgeest • 12 oktober 2023 11:57

Ja, als een server gecompromitteerd is tot dat niveau ben je inderdaad al de sjaak. Maar de impact daarvan is een stuk beperkter als je die toegang niet direct kan gebruiken om verder binnen het netwerk ook als administrator in te loggen.

bzuidgeest @kokx • 12 oktober 2023 12:36

Als je zover bent zijn er tal van andere exploits buiten die ww hash om verder te komen.
1 minder is natuurlijk beter en ntlm is antiek. Maar dat maakt het ook niet zo acuut als jij het doet voorkomen. Anders was NTLM al jaren geleden weg geweest.

Llopigat

Besturingssystemen
Windows 11
Microsoft

@kokx • 12 oktober 2023 22:24

Inderdaad, er zijn uitgebreide tools voor om een pad te zoeken naar hogere rechten:

https://github.com/BloodHoundAD/BloodHound

Een moderne AD is zo'n ingewikkeld woud van rechten met verschillende groepen dat er altijd wel ergens een padje te vinden is naar domain admin of iets dergelijks. Bijvoorbeeld de server admin heeft het recht om een bepaalde groep aan te passen, daarmee kan weer wat anders gedaan worden enz.

NTLM moet gewoon weg. Helaas zitten we op ons werk nog zelfs aan NTLM1 (smb1) vast omdat sommige idioten in de produktie er op staan om hele oude unsupported versies van Windows te gebruiken. Bijvoorbeeld XP en zelfs windows 2000 nog.

Zaken als pass the hash, bloodhound enz zijn gewoon niet op te lossen zonder backwards compatibility kapot te maken. Dat is een van de grootste problemen van Enterprise IT momenteel. Het zou mooi zijn als MS een beetje meehelpt door zo'n statement te maken.

[Reactie gewijzigd door Llopigat op 22 juli 2024 15:42]

d3burt

@bzuidgeest • 12 oktober 2023 16:02

Het probleem is dat de NTLM hash in zijn geheel wordt meegestuurd en de kracht van password heeft. Een NTLM has van iemand uitlezen is zo simpel als hem een mailtje sturen met een calendar invite die verwijst naar een door de aanvaller beheerde file server. Even de hash sniffen en klaar is Klara (CVE-2023-2339). Ook over het LAN is NTLM goed te sniffen, dus ook als de boefjes op een vergeten test server kunnen inloggen komen ze zo verder in het netwerk, en dat hoeft niet eens een Windows box te zijn; het kan bijvoorbeeld ook een cloud camera zijn.

Daar komt bij dat het uitzetten van NTLM alleen kan als je een AD hebt, en dat kost geld, wat voor kleine bedrijven best een dingetje is. Ik heb bijvoorbeeld geen enkele methode gevonden om NTLM voor RDP uit te zetten zonder AD en dus zonder CALs.

Oh, en de eerste exploit voor CVE-2023-2339 werkte niet meer na het aanbrengen van de patch via Windows Update, maar helaas zijn varianten nog steeds mogelijk.

Grotere bedrijven hebben soms obscure oude applicaties die omvallen als je NTLM uit zet. Ook daar staat NTLM dus vaak weer aan na een poging om het uit te zetten.

Ik wil maar zeggen: het blijft weerbarstige materie.

Dracozirion @d3burt • 12 oktober 2023 20:16

Over het LAN is Net-NTLM te sniffen maar je kan dit enkel relayen en niet gebruiken voor PTH aanvallen. Denk dat je NTLM en Net-NTLM wat door elkaar haalt.

dasiro @kokx • 12 oktober 2023 17:57

worden alle domain admins hashes standaard in de lokale cache geduwd? Ik dacht enkel van accounts die voordien al aangelogd waren, anders ga je constant traffic hebben naar alle toestellen telkens een domain admin z'n paswoord verandert.

kokx @dasiro • 13 oktober 2023 10:34

Het gaat specifiek inderdaad om domain admins die ingelogd zijn op de computer

Capsman 12 oktober 2023 11:16

Leuk voor iedereen met een NAS thuis; die hebben vast niet allemaal een domain controller...

nout77 @Capsman • 12 oktober 2023 12:04

Zo'n vaart zal het niet lopen, dit is de eerste echte aankondiging en de eerste fase is het in kaart brengen van hoevaak het gebruikt wordt. Deze tools gaan pas in de volgende Windows 11 refresh aanwezig zijn. Na die periode wordt het langzaam afgeschaald door standaard NTLM uit te schakelen, in die periode is het handmatig zelf ook weer aan te zetten. Genoeg tijd dus om over te stappen op IAKerb of kerberos.

MSalters @nout77 • 12 oktober 2023 18:24

En desnoods is er nog de NFS client - bijna elke NAS kan ook NFS server zijn. Nu is NFS inferieur aan SMB (met name error handling) maar het blijft wel werken.

SirBlade @Capsman • 12 oktober 2023 11:35

Microsoft is al vele jaren bezig met het uitfaseren van NTLM. NAS fabrikanten weten dat ook en hebben ruim de tijd gehad om met een oplossing te komen. Sterker nog, ze hebben nog steeds de tijd om zo'n oplossing te maken en uit rollen, ook voor hun oudere modellen .

Vampyre @Capsman • 12 oktober 2023 18:50

Meeste NASsen draaien bij mijn weten Samba voor CIFS/SMB.
Samba kan ook DC spelen.

Delade 12 oktober 2023 09:49

Het klinkt een beetje alsof Microsoft gebruik wilt gaan maken van de optie om de identiteit van mensen te kunnen verifiëren middels die hardwarematige module die tegenwoordig in computers zit. Zodat de computer gewoon volledig geblokkeerd kan worden als de verificatie niet slaagt.

TechSupreme @Delade • 12 oktober 2023 09:58

Het hele ding van Kerebros is juist dat de key distributie via de domain controller gaat. Ik zou even niet weten hoe de TPM daarin zou moeten passen. De verificatie gebeurt op een afstand en als je er niet doorheen komt dan kom je ook niet op het netwerk.

Het grote voor- en nadeel van NTLM is dat als je op een afstand niet kan verifieren dat hij terugvalt op een lokaal gecached account. Dus stel ik steel een computer met bepaalde data erop en de admin weet dat die computer weg is, dan zou je eigenlijk die asset willen blokkeren en op een afstand wipe. Omdat NTLM een lokale fallback heeft is het mogelijk om in te loggen zonder dat de computer verbonden is aan het netwerk. Waarom is dat een voordeel? Als je als beheerder ff een computer moet onderhouden of loskoppelen dan kan je er alsnog in wat soms wel handig is. Ook als er storing is dan kunnen mensen alsnog lokaal verder werken of bijvoorbeeld laptops die niet altijd verbonden zijn met het netwerk.

Wat je op corporate en vooral in datacenters steeds meer ziet is dat er inderdaad een speciale module zit in de server/PC die hardware verificaties doet en als er is geknoeid met de hardware dan word je automatisch geblokkeerd. Maar, dat is iets heel anders.

Ik zou het echt sterk vinden als de TPM ergens in dit verhaal naar voren zou komen. Misschien voor asset verificatie, maar voor identiteit niet.

/edit: Er stond TPU maar dat moet natuurlijk TPM zijn.

[Reactie gewijzigd door TechSupreme op 22 juli 2024 15:42]

kevlar01 @TechSupreme • 12 oktober 2023 12:27

Als beheerder zou je ook een lokaal administrator account kunnen gebruiken, dan hoef je geen cached credentials te gebruiken. Eventueel i.c.m. LAPS om dat account veiliger te maken.

TechSupreme @kevlar01 • 12 oktober 2023 22:34

Weet het niet meer zeker, MAARRRRRR volgens mij is het zo dat met nieuwere versies van Windows Server het lokale admin account via Group Policies automatisch wordt gedeactiveerd. Microsoft raad zelf sowieso aan om het lokale account niet te gebruiken.

Security considerations
Because the Administrator account is known to exist on many versions of the Windows operating system, it's a best practice to disable the Administrator account when possible to make it more difficult for malicious users to gain access to the server or client computer.

You can rename the Administrator account. However, a renamed Administrator account continues to use the same automatically assigned security identifier (SID), which can be discovered by malicious users. For more information about how to rename or disable a user account, see Disable or activate a local user account and Rename a local user account.

As a security best practice, use your local (non-Administrator) account to sign in and then use Run as administrator to accomplish tasks that require a higher level of rights than a standard user account. Don't use the Administrator account to sign in to your computer unless it's entirely necessary. For more information, see Run a program with administrative credentials.

Group Policy can be used to control the use of the local Administrators group automatically. For more information about Group Policy, see Group Policy Overview.

sfranken @TechSupreme • 12 oktober 2023 13:40

Met Kerberos heb je toch een ticket time / expiration? Zolang je TGT geldig is kun je op dat systeem inloggen met het account waar je TGT op is afgegeven.

TechSupreme @sfranken • 12 oktober 2023 14:23

De ticket lifetime staat default op 10 uur, maar dat is voor de token die wordt afgegeven voor dat systeem en die gebruiker. Dat is ervoor zodat de gebruiker niet voor elke actie een nieuwe ticket aan hoeft te vragen en dus zo de domain controller wordt overrompeld door alle aanvragen. De client kan zich dan bij de fileserver melden van ik ben die en die en kijk ik heb deze ticket van de domain controller dus het is allemaal goed.

Of je uberhaupt wel in kan loggen zodra er geen line of sight is naar de domain controller weet ik niet. Weet niet zeker, maar volgens mij werkt dat niet zo.

Zodra een gebruiker zich afmeldt dan wordt de ticket "purged" dat wil zeggen vernietigd, dus in die casus zou het sowieso niet kunnen. Er wordt sowieso niks lokaal gecached. Misschien als je de stekker eruit trekt en zo een ticket opvangt ofzo weet ik veel, maar zodra een computer weer online is en vraagt om een login dan worden alle oude tickets ook direct gepurged dus met een niet gehackde computer gaat het je sowieso niet lukken,

[Reactie gewijzigd door TechSupreme op 22 juli 2024 15:42]

vanDee898 @Delade • 12 oktober 2023 10:02

Komt heel anders over op mij. Microsoft wil een meer dan 20 jaar oud, minder veilig, protocol uit Windows halen. En voordat dit doorgevoerd wordt willen ze eerst weten hoe en wat de beste manier is.

the_stickie @Delade • 12 oktober 2023 10:03

Misschien… maar NTLM is ook gewoon onveilig. De aanbeveling is al heel lang NTLM waar kan te vermijden.
Kerberos is een stuk veiliger, maar vereist bijvoorbeeld een DC en bijhorende DNS (werkt niet met single label names).
Mij lijkt het dat MS admins wil pushen om eindelijk actief NTLM te gaan bestrijden door deze mededeling. Gezien NTLM nog steeds (te) veel gebruikt wordt, zie ik het niet op korte termijn verdwijnen. MS heeft immers de gewoonte hun Enterprise klanten niet onderuit te willen halen…

Blokker_1999

Besturingssystemen
Windows 11
Microsoft Windows
Microsoft

@Delade • 12 oktober 2023 09:57

Daar wil men sowieso meer en meer naartoe, dat doet men in essentie al met Windows Hello wat je klassieke credentials in de TPM chip gaat opslaan.

MrMonkE @Blokker_1999 • 12 oktober 2023 10:43

Beetje OT. Ik Shutte laats mijn PC down en schijnbaar als je dan te snel je power utzet is je hele TPM genuked. (Emulated in AMD cpu) Het boot scherm zei dat ik een nieuwe CPU had en de TPM moest worden gereset. Gelukkig gebruik ik het nergens voor. In windows was ik echt zwaar de pineut geweest denk ik.
(Asrock Taichi X570)

downtime @MrMonkE • 12 oktober 2023 11:05

Waarom was je dan de pineut geweest? Wat voor vreselijke dingen gebeuren er dan?

SkiFan @downtime • 12 oktober 2023 11:47

Bitlocker die je key niet meer kan vinden. Als je dan geen recoverykey hebt kun je je Windows sayanora zeggen.

downtime @SkiFan • 12 oktober 2023 11:57

Bitlocker dwingt jou om een backup van die key te maken. Als je die weg gooit heb je het er ook wel zelf naar gemaakt.

SkiFan @downtime • 12 oktober 2023 12:00

Klopt, maar na een paar jaar kan een USB-stick ook de geest hebben gegeven.

basmevissen

@SkiFan • 12 oktober 2023 12:20

Daarom is er niks geduldiger dan papier.
Ik heb de key trouwens regelmatig nodig. Mijn notebook is een dual boot Win11/Fedora met grub2 als bootloader. Na een update van grub2 moet ik de key opnieuw invullen. Aangezien ik Windows weinig gebruik, is dat zo ongeveer iedere keer :-) Dan ben je bij met een papieren afdruk.

Despen @SkiFan • 12 oktober 2023 13:02

Domme vraag misschien, maar ooit gehoord van een password manager?

SkiFan @Despen • 12 oktober 2023 13:15

Hoeft niet, ik heb ze netjes in AD staan. Maar voor een thuisgebruiker kan ik me de issues voorstellen.

Mortov Molotov @SkiFan • 12 oktober 2023 13:46

Ik sla die key's op in Bitwarden

MrMonkE @downtime • 12 oktober 2023 12:29

Ja, ik heb die altijd op papier.
Daar heb je 100% gelijk mee.

Bor Coördinator Frontpage Admins / FP Powermod @Blokker_1999 • 12 oktober 2023 19:38

Windows Hello slaat geen klassieke credentials (username / wachtwoord) op.

[Reactie gewijzigd door Bor op 22 juli 2024 15:42]

bzuidgeest @Delade • 12 oktober 2023 11:29

Het klinkt een heel beetje als friet met mayonaise, maar ook dat heeft er niets mee te maken....

SPee @Delade • 12 oktober 2023 11:39

Maar hoe willen ze dat dan doen bij bv Citrix, waar 10-tallen gebruikers op dezelfde server werken?

Er is geen relatie "1 hardware apparaat == 1 gebruiker".

nibble_x64 12 oktober 2023 16:52

Wel grappig/apart. Wij gebruiken Azure Virtual Desktop (w10 multisession).
Als wij middels een GPO NTLM uitzetten, is inloggen niet eens meer mogelijk op die omgeving welke authenticeerd op onze AD
MS moet eerst intern alles maar eens op orde maken.

harrald 12 oktober 2023 09:49

"achtervangmethodes" als vertaling voor fallback?

theduke1989 @harrald • 12 oktober 2023 09:55

fallback klingt toch veel beter, we moeten niet echt alles 100% gaan vertalen.
Dit zijn toch technische IT begrippen, snap dat niet zo.

SunnieNL

Microsoft Windows

@theduke1989 • 12 oktober 2023 10:06

Achtervang is een vrij normaal nederlands woord dat ik toch regelmatig hoor.
Vaak als verwijzing naar iemand die als backup / achtervang staat voor iemand.

i-chat @SunnieNL • 12 oktober 2023 10:13

dat is achterwacht, niet achtervang!

en een achterwacht is inderdaad een fallback-persoon dus niet zozeer een fallback-routine of proces

dat gezeg hebbende heel tweakers hangt vol met leenwoorden en vakjargon.

Local Area Network het niet ineens een LGN (Lokaal GebiedsNetwerk)
we spreken ook gewoon over computers en niet over rekenaars
en alleen in de meest achterlijke der achterlijke leerboekjes spreken we over een Centrale VerwerkingsEenheid in plaats van een CPU.

[Reactie gewijzigd door i-chat op 22 juli 2024 15:42]

SunnieNL

Microsoft Windows

@i-chat • 12 oktober 2023 10:29

Niet zo stellig.. Achterwacht is een term die voornamelijk medisch gebruikt wordt zover ik weet.
Achtervang wordt op andere plekken gebruikt. Zie ook https://www.pricon.nl/achtervang-overheid/

Daarnaast wordt achtervang ook gebruikt in niet personen. Zoals praatpalen die achtervang waren van het mobiele netwerk ( https://nos.nl/artikel/26...en-stabiel-ondanks-mobiel ) en kan zelfs om geld gaan ( geldreserve/backup).

De vraag is ook of Microsoft het hier heeft over een fallback. NTLM wordt uit het OS gesloopt. Je hebt dus geen fallback, want er is niet meer terug te vallen op de oude methode. Achtervang lijkt dan ook de juiste vertaling (anders was het wel terugvalmethode geweest). Ze maken een nieuwe backup methode voor als Kerberos niet werkt.

MicGlou @i-chat • 12 oktober 2023 10:34

Achtervang is gewoon een normaal woord... achtervang is een "voorwerp" in brede zin, achterwacht is een perso(o)n(en). En de termen worden niet eens in dezelfde strekking gebruikt eigenlijk.

Overigens zal de vertaling van LAN dan LON zijn... LokaalOmgevingsNetwerk... en in de ICT wordt de term 'lokale omgeving' vrij veel gebruikt.

Verder geheel eens dat we vooral de universele wereldwijd gebruikte termen moeten hanteren om geen verwarringen te krijgen.

nout77 @i-chat • 12 oktober 2023 11:55

LAN is in het Nederlands gewoon: lokaal netwerk

Hobbit13 @i-chat • 12 oktober 2023 11:58

Centrale Verwerkings Eenheid in plaats van een CPU.

Rond 1995 heb ik Informatica op het VWO gehad, in het tentamen moesten we afkortingen kennen, maar volledig in het Nederlands. Dus als je geen idee had wat CVE was, kon je kennelijk niet met computers overweg....

De andere helft ging over WP Works 1.0 voor DOS, dat toen al hopeloos verouderd was. Hoefden ze gelukkig geen Nederlandse afkorting voor WYSISWG te maken

vickypollard @SunnieNL • 12 oktober 2023 10:16

De Van Dale kent 'achtervang' in ieder geval niet. Is dit er zo eentje die we met z'n allen op kantoor hebben verzonnen?

SunnieNL

Microsoft Windows

@vickypollard • 12 oktober 2023 10:35

Instituut van de Nederlandse taal kent het woord dan weer wel..

ymmv @vickypollard • 12 oktober 2023 10:36

De term achtervang komt ook voorbij in discussies over het nut van zonne/windenergie als je achtervang nodig hebt voor als de zon niet schijnt en de wind niet waait.

MicGlou @vickypollard • 12 oktober 2023 10:39

Het Woordenboek der Nederlandsche taal kent het wel

Van Dale is een uitgever, niet de beheerder van de (historie van de) Nederlandse taal.

https://ivdnt.org/woorden...k-der-nederlandsche-taal/

vickypollard @MicGlou • 12 oktober 2023 10:40

Uiteraard, maar je zou verwachten dat 'een vrij normaal Nederlandse woord' toch in de Van Dale voorkomt

MicGlou @vickypollard • 12 oktober 2023 10:44

Dat zou je denken... maar volgens het INT kent de Nederlandse taal circa 430.000 woorden en bevat de Dikke Van Dale er circa 250.000... oftewel, ze staan er lang niet allemaal in

nullbyte @SunnieNL • 12 oktober 2023 11:31

Inderdaad een prima Nederlands woord, maar niet als ICT vakjargon. Daar is Engels de norm, zo weten we allemaal direct waar het over gaat.

Achtervang is een vrij normaal nederlands woord dat ik toch regelmatig hoor.
Vaak als verwijzing naar iemand die als backup / achtervang staat voor iemand.

Dat woord heb ik in die context nog nooit gehoord. In mijn referentiekader heeft men het over consignatie / een geconsigneerde.

https://www.rijksoverheid...proepdiensten-consignatie

[Reactie gewijzigd door nullbyte op 22 juli 2024 15:42]

Arrogant @theduke1989 • 12 oktober 2023 10:54

Klingt?

twilex 12 oktober 2023 09:55

"Windows wil .. Windows"

Vreemde titel

jochem4207 @twilex • 12 oktober 2023 09:56

Windows has become sentient.

RUN!

M3m3nt0m0r1 12 oktober 2023 10:01

Hoe eerder we van NTLM af kunnen komen hoe beter.
Het blijft een zwak protocol wat allang uit gefaseerd had moeten zijn.
Het gebruik van het RC4 cipher protocol, eenzijdige authenticatie, relay attacks, enzovoorts.