Durante décadas, o NTLM foi um dos pilares silenciosos da autenticação no ecossistema Windows. Presente desde as primeiras versões do sistema, ele sobreviveu a mudanças profundas na infraestrutura de redes corporativas e até à ascensão de modelos híbridos e em nuvem. No entanto, essa longevidade também trouxe um custo alto em termos de segurança, e agora o protocolo finalmente tem data para sair de cena por padrão.
A descontinuação do NTLM faz parte de uma estratégia clara da Microsoft para modernizar o modelo de autenticação do Windows. A empresa anunciou um plano estruturado em três fases, que culmina na substituição definitiva pelo Kerberos, um protocolo mais robusto, seguro e alinhado às exigências atuais de proteção contra ataques avançados.
Essa transição não é apenas uma atualização técnica. Ela representa uma mudança fundamental na forma como o Windows lida com identidade, confiança e autenticação em redes modernas. Para administradores de sistemas e profissionais de TI, entender esse processo desde já é essencial para evitar surpresas, falhas de compatibilidade e riscos de segurança nos próximos anos.
Por que o NTLM está sendo descontinuado?
O principal motivo por trás da descontinuação do NTLM está no seu modelo de segurança, considerado obsoleto diante do cenário atual de ameaças. Embora tenha recebido correções ao longo do tempo, o protocolo nunca foi projetado para lidar com ataques sofisticados e ambientes altamente distribuídos, como os que vemos hoje.
O protocolo NTLM vulnerável é especialmente suscetível a técnicas como Pass-the-Hash, nas quais um invasor reutiliza hashes de credenciais capturadas para se autenticar sem conhecer a senha original. Esse tipo de ataque continua sendo extremamente eficaz em redes que ainda dependem do NTLM.
Além disso, o NTLM não oferece proteção nativa adequada contra ataques de relay e man-in-the-middle, permitindo que um agente malicioso intercepte e redirecione processos de autenticação. Em um contexto de segurança no Windows cada vez mais orientado ao modelo Zero Trust, esse tipo de fraqueza se torna inaceitável.
Os perigos da criptografia fraca
Outro fator crítico é o uso de algoritmos criptográficos considerados fracos ou inadequados para os padrões atuais. O NTLM foi concebido em uma época em que o poder computacional disponível para ataques de força bruta era significativamente menor.
Hoje, a combinação de hashes previsíveis, ausência de autenticação mútua forte e dependência de segredos reutilizáveis cria um cenário propício para comprometimentos em larga escala. Em redes corporativas complexas, uma única exploração bem-sucedida pode abrir caminho para movimentação lateral e escalonamento de privilégios.
As três fases da migração para o Kerberos
Para evitar rupturas abruptas, a Microsoft definiu um plano de transição progressivo, dividido em três etapas bem definidas. Esse processo permite que organizações identifiquem dependências, ajustem aplicações legadas e fortaleçam gradualmente sua postura de segurança.
Fase 1: Auditoria e visibilidade
A primeira fase é focada em auditoria. O Windows passa a registrar detalhadamente todos os usos de NTLM no ambiente, permitindo que administradores identifiquem quais sistemas, serviços ou aplicações ainda dependem do protocolo antigo.
Essa etapa é crucial para mapear riscos ocultos. Muitas organizações descobrem, nesse momento, que dispositivos antigos, scripts personalizados ou aplicações internas ainda utilizam NTLM de forma silenciosa.
Fase 2: IAKerb e KDC local
Na segunda fase, a Microsoft introduz melhorias no Kerberos para lidar com cenários antes cobertos pelo NTLM. Entre elas estão o IAKerb e o KDC local, que permitem autenticação Kerberos mesmo quando o cliente não consegue se comunicar diretamente com um controlador de domínio tradicional.
Esses mecanismos são especialmente importantes em ambientes modernos, como redes híbridas, dispositivos móveis corporativos e cenários de acesso remoto, reduzindo a necessidade de recorrer ao NTLM como solução de compatibilidade.
Fase 3: Desativação do NTLM por padrão
A fase final marca a desativação do NTLM por padrão no Windows. A partir desse ponto, o protocolo deixa de ser utilizado automaticamente, exigindo ações explícitas para reativação em casos excepcionais.
Segundo o cronograma divulgado, essa etapa deve ser concluída até o segundo semestre de 2026, dando às empresas uma janela razoável para se adaptar, mas deixando claro que o fim do NTLM é definitivo.
O que muda para as empresas e ambientes híbridos?
Para muitas organizações, o maior desafio da migração para Kerberos está na dependência de sistemas legados. Aplicações antigas, equipamentos de terceiros e fluxos de autenticação personalizados podem não estar preparados para a mudança.
A estratégia da Microsoft busca minimizar impactos, oferecendo ferramentas de auditoria, compatibilidade temporária e melhorias no Kerberos. Ainda assim, a responsabilidade final recai sobre os administradores, que precisam validar aplicações, atualizar sistemas e, em alguns casos, planejar substituições.
Em ambientes híbridos, que combinam infraestrutura local com serviços em nuvem, a transição tende a trazer ganhos significativos. O Kerberos se integra melhor a modelos modernos de identidade, reduzindo a superfície de ataque e fortalecendo a segurança no Windows como um todo.
Conclusão: Um futuro sem senhas e mais seguro
A descontinuação do NTLM marca o encerramento de um capítulo importante da história do Windows, mas também abre caminho para uma infraestrutura de autenticação muito mais segura e resiliente. A substituição pelo Kerberos não é apenas uma atualização técnica, mas um passo estratégico rumo a redes corporativas mais confiáveis.
Para administradores e profissionais de TI, o momento de agir é agora. Auditar o ambiente, identificar dependências e iniciar a migração para Kerberos são medidas essenciais para evitar riscos futuros e garantir uma transição tranquila.