Microsoft zet verouderd authenticatieprotocol NTLM stap voor stap uit in Windows

Microsoft gaat NTLM halverwege dit jaar verwijderen uit Windows. Het bedrijf heeft daarvoor een tijdlijn gegeven, nadat het eerder al aankondigde NTLM uit te faseren. In de tweede helft van het jaar wordt die verwijdering doorgezet.

Microsoft schrijft dat in een blogpost. Het bedrijf zegt dat het vanaf de tweede helft van 2026 verschillende onderdelen van Windows gaat aanpassen om de uitfasering van New Technology LAN Manager eenvoudiger te maken. Zo gaat het IAKerb en het lokale Key Distribution Center op de schop gooien en worden Windows-componenten aangepast zodat die in de eerste plaats Kerberos gebruiken voor authenticatie in plaats van NTLM.

Dat gebeurt op Windows Server 2025 en Windows 11 24H2 en hoger. Vanaf de volgende grote Windows Server-release wordt NTLM standaard uitgeschakeld. Beheerders moeten NTLM dan zelf inschakelen als zij dat nog willen gebruiken.

Microsoft benadrukt dat NTLM nog wel in Windows blijft zitten. Daarmee krijgen beheerders meer tijd en mogelijkheden om van het protocol af te stappen.

Microsoft zei eind 2024 al dat het NTLM wilde verwijderen, maar gaf daar tot nu toe nog geen duidelijke tijdlijn voor. Wel werd NTLM versie 1 al verwijderd. Versie 2 van NTLM heeft inmiddels de status deprecated, waardoor het geen updates meer ontvangt. NTLM is een oud authenticatieprotocol dat de laatste jaren steeds minder relevant is geworden door de opkomst van Kerberos. Microsoft zegt ook dat Kerberos voor de meeste gebruikers een beter alternatief is en dat NTLM vaak alleen nog wordt gebruikt wanneer Kerberos niet beschikbaar is. NTLM bevat van nature zwakke encryptie waardoor het protocol kwetsbaar is voor man-in-the-middleaanvallen.

NTLM

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 30-01-2026 10:59 30

30-01-2026 • 10:59

30

Lees meer

Windows 11 blokkeert voorvertoning van gedownloade bestanden vanwege veiligheid
Windows 11 blokkeert voorvertoning van gedownloade bestanden vanwege veiligheid Nieuws van 23 oktober 2025
MIVD: Russische staatshackers APT28 vielen Nederland aan om hulp aan Oekraïne
MIVD: Russische staatshackers APT28 vielen Nederland aan om hulp aan Oekraïne Nieuws van 21 mei 2025
Microsoft faseert authenticatieprotocol NTLM uit
Microsoft faseert authenticatieprotocol NTLM uit Nieuws van 10 december 2024
Microsoft dicht vier zerodays op Patch Tuesday, waarvan twee actief misbruikt
Microsoft dicht vier zerodays op Patch Tuesday, waarvan twee actief misbruikt Nieuws van 13 november 2024
Microsoft wil authenticatieprotocol NTLM op termijn uit Windows 11 verwijderen
Microsoft wil authenticatieprotocol NTLM op termijn uit Windows 11 verwijderen Nieuws van 12 oktober 2023
Meer producten en artikelen
Beveiliging en antivirus Microsoft Windows Windows Server Ntlm

Reacties (30)

-Moderatie-faq
30
29
10
0
0
16
Wijzig sortering

Sorteer op:

Weergave:
kokx 30 januari 2026 11:05
Mooi dat dit gebeurd! Gaat mijn baan als pentester wel een stuk lastiger maken binnen Windows-netwerken, maar dat is alleen maar goed natuurlijk.
Reageer
telenut @kokx30 januari 2026 11:17
denk dat NTLM de volgende 10 jaar nog meer dan voldoende te vinden zal zijn :-)
Als ik zie hoeveel dat nu nog in gebruik is...
Reageer
TechSupreme @telenut30 januari 2026 12:42
Ik denk het niet eigenlijk, of je moet wel een hele oude versie van Windows Server gebruiken.

Sowieso is Microsoft keihard aan het pushen om iedereen op Azure te krijgen. Een onpremise server is eigenlijk niet meer van deze tijd.

NTLM wordt al sinds 2010 uitgefaseerd. NTLM was nog wel beschikbaar, maar niet de default. Er zat nog een stukje NTLM-fallback in voor lokale authenticatie, mocht het domein niet beschikbaar zijn. En dat zat hardcoded ingebakken in Windows en er waren ook geen alternatieven voor.

Dus buiten Microsoft zelf werd NTLM al bijna niet meer gebruikt.

Nui is Microsoft zover dat ze NTLM default uit gaan zetten. Het is nog niet verwijderd, dat klopt, maar je moet wel moeite doen om het weer aan te zetten. Microsoft kennende zullen ze het geleidelijk aan lastiger maken om het weer aan te zetten. Dat zelfde zag je ook met SMB dat het steeds moeilijker en moeilijker werd om het te vinden in het OS.

Uiteindelijk heeft het er wel toe geleid dat SMB in zijn geheel is uitgefaseerd en dat zelfde gaat nu ook met NTLM gebeuren.

Of je moet echt een WIndows Server 2008 machine hebben draaien en Windows 7 als clients.
Reageer
Llopigat
@kokx30 januari 2026 11:21
Ja ik snap niet dat het zo lang heeft geduurd. Hele klassen exploits gaan hiermee in 1 klap de deur uit.
Reageer
Yalopa @Llopigat30 januari 2026 11:56
Omdat als ze het er snel uit zouden gooien, er gigantisch veel software die hiervan afhankelijk is niet meer zou werken.

En softwareleveranciers maken geen haast om hun code aan te passen want er is nog genoeg tijd.
Reageer
cricque @Yalopa30 januari 2026 12:16
Dit heeft dikwijls ook te maken met de klant ... Die willen bijvoorbeeld dat dit op deze manier gebeurd. Zo moet je soms verschillende dingen ondersteunen en dat is altijd een hele hoop werk, zeker in "legacy" software. Ik weet nog dat ik voor een bedrijf werkte en daar kon je kiezen access (alleen lokaal voor 1 gebruiker) of sql server. Maar er was een hele grote klant die Oracle gebruikte ... Dusja heb toen echt wel met Oracle leren werken en ik kon kijken bij elke versie als alles compatibel was met Oracle, want de andere programmeurs deden maar zoals het hun paste. Heb er ook geen jaren gewerkt hoor.

Maar kijk hier in België net hetzelfde. Sinds 2026 is Peppol verplicht, weet je wanneer ik alles aangepast hebt ? Eerste week van januari. Ik had gewoon geen interesse om 2 systemen tegelijkertijd aan te passen.
Waarom moet ik 2 jaar op voorhand klaar zijn ? Omdat het kan ? Factureren bij mijn applicatie is slechts 1 op de 10 die het gebruikt. En dat is niet de core business. Het zit erin, maar je kan niet zomaar doen wat jij denk, het zit wel echt "pot toe" zoals we hier zeggen. Buiten de lijntjes kleuren zit er bij mij niet in. Dat is ook een keuze. Maar in december was slechts nog maar 1 op de 2 bedrijven op het peppol netwerk. Nu zo een 85% terwijl het wettelijk verplicht is.

Voor bepaalde zaken ben ik wel op goed op tijd, voor andere is er geen haast om het zo te zeggen
Reageer
rammes 30 januari 2026 11:05
Heb je een Oude NAS’en (Synology/QNAP/WD/Netgear) of oudere Samba shares, deze gebruiken soms NTLM (of NTLMv1). Dan kun je dus niet meer bij je shares
Reageer
The Zep Man
@rammes30 januari 2026 11:23
Tenzij je het client-side weer inschakelt. Hetzelfde met toegang tot mappen gedeeld via enkel SMBv1.

[Reactie gewijzigd door The Zep Man op 30 januari 2026 11:52]

Reageer
CaptainKansloos @rammes30 januari 2026 11:30
Dat is een goede vraag; zonder NTLM compatible client; hoe ga je je Samba shares benaderen op je huis-tuin-en-keuken-NAS zonder Kerberos / AD domain? Iemand ervaring mee?
edit:
Ik denk dat je niet onder een 'domain controller' achtige functie uit kunt voor Kerberos. Mijn QNAP thuis NAS heeft een domain controller functie die ik aan kan zetten, maar geen idee of/hoe ik de lokale user DB dan moet 'migreren' oid.

[Reactie gewijzigd door CaptainKansloos op 30 januari 2026 11:35]

Reageer
Llopigat
@CaptainKansloos30 januari 2026 12:12
NTLM is niet nodig voor AD. Alleen voor de allereerste versies. SMBv1. Moderne software heeft dat allang uitgeschakeld.

[Reactie gewijzigd door Llopigat op 30 januari 2026 12:13]

Reageer
poktor @Llopigat30 januari 2026 12:28
Dit inderdaad. Inmiddels is SMBv1 en 2 verouderd en zijn we bij SMBv3.
Reageer
CaptainKansloos @Llopigat30 januari 2026 12:34
NTLM is niet nodig voor AD.
Het gaat me niet om of NTLM nodig is voor AD (dat is niet zo); het gaat erover of er een 'AD'-like setup nodig is om - nadat NTLM uit Windows is verwijderd - Kerberos authenticatie tegen je thuis-NAS te kunnen doen. NTLM authenticatie werkt dan immers niet meer vanuit de SMB-client.

Een AD 'kerstboom' opzetten is wat anders dan een paar lokale accounts instellen met NTLM; zeker in een recht-toe-recht-aan thuis NAS scenario.

[Reactie gewijzigd door CaptainKansloos op 30 januari 2026 12:37]

Reageer
pOZOR jED 30 januari 2026 11:05
Maar zoals we vaak zijn bij Microsoft gaat dit in een tergend langzaam tempo, want afscheid nemen van oude dingen is niet hun sterke kant... Stel je voor dat gebruikers vooruit moeten ;)
Reageer
kameleon20 @pOZOR jED30 januari 2026 11:35
En als ze wel een stap hierin zetten, kijk naar windows 11 met TPM 2.0 support, dan zijn er hele grote bevolkingsgroepen die lopen te stuiteren.
Reageer
synoniem @kameleon2030 januari 2026 11:48
Er zit nog wel wat verschil tussen hardware vereisten of software vereisten. Software kun je relatief eenvoudig updaten. Hardware updaten betekent een berg e-waste genereren zoals bij Windows 11 het geval is.
Reageer
NBK @synoniem30 januari 2026 12:06
Of gebruikers die op Windows 10 blijven hangen zonder beveiligingsupdates.

Ik was wel aan het kijken of ik mijn server, PC en twee laptops wou gaan vervangen. Ze worden vooral gebruikt voor administratie, mail een beetje browsen en af en toe wat downloaden en vintage gaming. Maar met de huidige CPU, moederbord en RAM prijzen is dat echt niet leuk meer. Ik kan ook niet echt een zuinige CPU vinden die nog wel voelt als een echte upgrade.
Reageer
afterburn @pOZOR jED30 januari 2026 11:19
Blame the user. Microsoft ondersteunt Kerberos authentication sinds W2K. Dat is in februari 26 jaar geleden.

Als Microsoft zaken afdwingt, zoals recent met tpm voor w11, dan zie je backlash. En dat is slechts de consumenten. Enterprise is wat hun rekening betaald en die bepalen wat ze nodig hebben en gebruiken. En de tijdslijn die acceptabel is.
Reageer
IrBaboon79 @pOZOR jED30 januari 2026 12:09
Als dit niet langzaam gaat valt de hele wereld erover; hele bedrijven draaien op dat spul en die worden altijd pas weken na de daad wakker... - juist die stabiele factor is een enorm sterk punt van Windows (voor de zakelijke markt iig).

Thuisgebruikers betalen nauwelijks voor windows support contracten, bedrijven wel; dus ja, die bepalen zo'n beetje de koers van 'legacy'...
Reageer
JacOwns7 @pOZOR jED30 januari 2026 12:33
Ze passen zich aan naar de gebruikers. Zoals hier nog wel eens eentje naar boven komt drijven met zn i3 van de vorige eeuw.
Reageer
R_Zwart @pOZOR jED30 januari 2026 12:46
Er zijn genoeg gebruikers voor wie het prima is. Als uit een risicoanalyse blijkt dat het risico acceptabel is dan ga je je tijd en geld eerst elders gebruiken als ondernemer. Niet alles hoeft potdicht te zitten. Als je voor thuis sloten gaat kopen zet je ook niet overal het nieuwste en veiligste er op. Dan kijk je naar het gebruik en het risico. Op een tuinhek hoeft niet eenzelfde kwaliteit slot als op de voordeur.
Reageer
Erwin1985 @pOZOR jED30 januari 2026 11:07
Als MS te snel gaat, staan hier de comments vol over MS dat legacy niet respecteert.
Reageer
Yalopa @Llopigat30 januari 2026 11:57
Raad eens waar ms winst maakt: jij als gebruiker of die grote bedrijven…
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@Llopigat30 januari 2026 12:11
Dit wordt door consumenten veelal nog gebruikt om bv shares op een NAS te openen etc. Dat dit niet wordt gebruikt door eindgebruikers is echt veel te kort door de bocht.
Reageer
Llopigat
@Bor30 januari 2026 12:13
Alleen als je een hele oude NAS hebt en die al jaren niet geupdate hebt misschien.

Shares openen kan prima met moderne samba.
Reageer
dmantione @Llopigat30 januari 2026 12:15
"tooltje" is vaak een zware onderschatting van de problematiek. O het kan om veel meer gaan, zoals een dure machine met een economische levensduur van 20 jaar waar toevallig een computer in zit. Je kan je afvragen of daar een bederfelijke Windows-versie in moet zitten, maar het gebeurt.
Reageer
Zackito 30 januari 2026 11:03
Werd tijd zeg..
Reageer
GarBaGe 30 januari 2026 11:21
...verouderd authenticatieprotocol NTLM...
...NTLM is een oud authenticatieprotocol dat de laatste jaren steeds minder relevant is geworden door de opkomst van Kerberos...
Want Kerberos is de frisse nieuwe wind om NTLM te vervangen?
Volgens mij is Kerberos minstens net zo oud als NTLM. Ergens jaren 80...

Lijkt me dat "een oud protocol" niet echt de reden is van vervangen.
Volgens mij is Kerberos een meer open standaard, niet ontwikkeld door Microsoft?
Wellicht wil Microsoft stoppen met NTLM zodat ze daar ook geen geld meer in hoeven te steken voor onderhoud.
Meer een kostenbesparingsoperatie
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@GarBaGe30 januari 2026 12:06
Lijkt me dat "een oud protocol" niet echt de reden is van vervangen.
Dat is de reden dan ook niet. De reden is dat het inherent onveilig is vanwege o.a. zwakke encryptiealgoritmen e.a.
Reageer
The Zep Man
30 januari 2026 11:25
NTLMv2 is de reden dat accountwachtwoorden met een MD4(!) hash worden opgeslagen zonder salt. Prima om daar eens afscheid van te nemen. :+
Reageer

Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq