Microsoft sẽ vô hiệu hóa NTLM trên Windows: IT admin cần chuẩn bị gì?

Trong vài năm trở lại đây, Microsoft liên tục nhấn mạnh kế hoạch từng bước loại bỏ NTLM khỏi các bản cài đặt Windows, thay thế bằng những cơ chế xác thực hiện đại hơn dựa trên Kerberos. Dù một số phiên bản NTLM vẫn còn được hỗ trợ ở trạng thái “không khuyến khích sử dụng”, Microsoft đã bắt đầu loại bỏ các biến thể NTLM rất cũ trên Windows 11 cũng như Windows Server 2025. Mới đây, hãng phần mềm có trụ sở tại Redmond đã chia sẻ chi tiết cách các quản trị viên IT cần chuẩn bị để sẵn sàng cho việc NTLM bị vô hiệu hóa trong môi trường doanh nghiệp.

NTLM đã tồn tại trong hệ sinh thái xác thực của Windows hơn 30 năm. Tuy nhiên, khi các mối đe dọa an ninh ngày càng tinh vi, giao thức này không còn phù hợp cho môi trường doanh nghiệp. Việc tiếp tục sử dụng NTLM dù đã bị “khai tử” về mặt định hướng sẽ kéo theo nhiều rủi ro nghiêm trọng, như không có cơ chế xác thực máy chủ, dễ bị tấn công replay, relay hay pass-the-hash, cùng với đó là việc sử dụng các thuật toán mã hóa yếu.

Ở thời điểm hiện tại, Microsoft đang đưa NTLM từ trạng thái “deprecated” sang giai đoạn bị tắt theo mặc định. Mục tiêu cuối cùng của hãng là loại bỏ hoàn toàn giao thức này khỏi Windows.

Quá trình vô hiệu hóa NTLM sẽ được triển khai theo nhiều giai đoạn. Trong giai đoạn đầu, các quản trị viên IT có thể tận dụng những công cụ do Microsoft cung cấp để xác định NTLM đang được sử dụng ở đâu, theo cách nào và vì lý do gì trong hạ tầng của mình. Giai đoạn thứ hai dự kiến bắt đầu vào nửa cuối năm nay, khi Microsoft tìm cách gỡ bỏ các rào cản còn tồn tại để việc loại bỏ NTLM trở nên dễ dàng hơn. Ở giai đoạn này, hãng sẽ giới thiệu Local KDC (ở dạng preview) nhằm tránh việc tài khoản cục bộ phải “quay về” NTLM trong quá trình xác thực, đồng thời cập nhật các thành phần cốt lõi của Windows để ưu tiên đàm phán dựa trên Kerberos.

Giai đoạn thứ ba sẽ khởi động cùng phiên bản Windows Server và các bản Windows dành cho người dùng tiếp theo, nơi NTLM sẽ bị tắt theo mặc định. Doanh nghiệp vẫn có thể bật lại NTLM nếu cần, nhưng phải chấp nhận rủi ro bảo mật phát sinh từ quyết định đó.

Microsoft mô tả việc vô hiệu hóa NTLM là một “bước tiến lớn trong cơ chế xác thực của Windows”, giúp hệ điều hành an toàn hơn đáng kể. Để chuẩn bị cho thay đổi này, các quản trị viên IT được khuyến nghị triển khai cơ chế audit NTLM nâng cao nhằm xác định các điểm vẫn còn phụ thuộc vào giao thức này, lập bản đồ mối phụ thuộc giữa các ứng dụng và dịch vụ để ưu tiên xử lý, đồng thời làm việc với nhà phát triển phần mềm nếu cần cập nhật các ứng dụng quan trọng. Song song đó, doanh nghiệp nên chuyển đổi và xác nhận rằng các workload then chốt hoạt động ổn định với Kerberos, thử nghiệm cấu hình “tắt NTLM” trong môi trường không phải production, cũng như bật các bản nâng cấp Kerberos khi chúng xuất hiện trong chương trình Windows Insider trước khi triển khai rộng rãi hơn trong năm nay.

Trong trường hợp gặp những tình huống đặc biệt mà NTLM gần như không thể loại bỏ, Microsoft khuyến khích quản trị viên liên hệ trực tiếp với hãng thông qua địa chỉ email ntlm@microsoft.com để được hỗ trợ.