Microsoft verabschiedet VBScript und NTLM

Bereits 1996 fand VBScript als Teil des inzwischen ebenfalls obsoleten Internet Explorer seinen Weg auf Windows-Rechner. Seither wurde die Scripting-Umgebung für zahlreiche Attacken missbraucht und soll fortan nur noch als Feature on Demand verfügbar sein, bevor es ganz von Windows-Rechnern verschwinden soll. Unter anderem der Malware-König Emotet nutzte VBScript für seine Verbreitung. Eine genaue Timeline, wann VBScript endgültig das Zeitliche segnen soll, ist noch nicht bekannt.

In einem weiteren Schritt möchte Microsoft in Windows 11 auch das Netzwerkprotokoll NTLM (NT LAN Manager) loswerden, mit dem sich etwa Clients an Servern authentifizieren können. Vor allen Dingen die Version 1 von NTLM gilt als unsicher, wohingegen Version 2 durchaus einige Security-Features mitbringt. Firmen sollen künftig ausschließlich auf Kerberos setzen.

Dementsprechend baut Microsoft Kerberos aus, um auch Szenarien zu adressieren, in denen bislang ein NTLM-Fallback stattfindet. So sollen künftig Kerberos-Anmeldungen dank IAKerb auch in unterschiedlichen Netzwerktopologien möglich sein, die bislang nicht unterstützt wurden, sowie lokale Konten soll einen Kerberos-Support erhalten (lokaler KDC für Kerberos).

Noch offene Fragen

Doch wirft die Entscheidung seitens Microsoft, NTLM zu deaktivieren, eine Reihe an Fragen auf. So etwa, welche Server-Betriebssysteme von diesem Schritt betroffen sind und ob auch das noch als relativ sicher geltende NTLMv2 stillgelegt werden soll. Auch ist unklar, was mit Umgebungen geschieht, die keinen Domänencontroller betreiben und SMB-Serverzugriffe ermöglichen möchten.

Microsoft will nach eigener Aussage Firmen bessere Kontrollmöglichkeiten an die Hand geben, um die Nutzung von NTLM im eigenen Netzwerk im Blick zu behalten und sukzessive zu reduzieren. Der Konzern will dann dank eines "datengetriebenen Ansatzes" entscheiden, wann eine Abschaltung sicher möglich ist.