Microsoft ha iniciado una estrategia para optimizar la experiencia en Windows 11, no solo en aspectos visuales y de rendimiento, sino también en seguridad. La compañía eliminará progresivamente uno de sus protocolos de autenticación más antiguos, dando un paso significativo hacia estándares de seguridad más robustos.
Durante décadas, Windows ha confiado en el protocolo NTLM (NT LAN Manager) para verificar la identidad de usuarios y dispositivos en redes locales. Si bien ha sido funcional, el NTLM presenta vulnerabilidades conocidas y ya no se alinea con las prácticas de seguridad modernas. Microsoft ha estado trabajando en su sustitución y ha confirmado que las futuras versiones de Windows 11, tanto para clientes como para servidores, deshabilitarán NTLM por defecto.
Para suplir las funcionalidades que NTLM ofrecía, Microsoft ha introducido dos tecnologías basadas en Kerberos, su protocolo de autenticación predilecto. La primera, denominada IAKerb, está diseñada para entornos empresariales donde un dispositivo necesita autenticarse sin tener acceso directo a un controlador de dominio. IAKerb actúa como intermediario, facilitando el proceso y abordando una de las principales razones por las que muchas organizaciones seguían utilizando NTLM.
La segunda tecnología, LocalKDC, se centra en la autenticación de cuentas locales, es decir, para equipos que operan de forma independiente o que no forman parte de una red corporativa. La combinación de IAKerb y LocalKDC cierra las brechas que impedían a muchas empresas y usuarios avanzados adoptar soluciones de autenticación más modernas.
Aunque la desactivación de NTLM marca un hito, Microsoft ha ido retirando gradualmente este protocolo. La compañía primero promovió el uso de Kerberos y luego habilitó auditorías de configuración en Windows Server 2025. El siguiente paso es desactivar NTLM por defecto, pero manteniendo la opción de habilitarlo para casos de uso muy específicos.
Según reportes, las primeras implementaciones de estas novedades se introducirán en el canal Canary del programa Windows Insider. En esta versión preliminar, IAKerb estará activado por defecto, mientras que LocalKDC vendrá desactivado, aunque ambas configuraciones podrán modificarse manualmente a través del Registro de Windows. Con el tiempo, Microsoft planea integrar estos ajustes en herramientas de administración y directivas de grupo.
Para los usuarios domésticos sin configuraciones de red complejas, es probable que este cambio no sea perceptible directamente. El proceso de inicio de sesión continuará funcionando de manera similar, pero impulsado por un protocolo más moderno. El objetivo de sustituir NTLM por Kerberos es fortalecer la protección contra ataques dirigidos a robar contraseñas.
La situación difiere en entornos corporativos donde NTLM aún se empleaba por motivos de compatibilidad. En estos casos, los administradores deberán revisar las dependencias de sus sistemas antes de que la transición se implemente en las versiones estables de Windows.
Windows Moderniza su Seguridad: Desaparece el Protocolo NTLM
Microsoft está implementando una estrategia para mejorar la experiencia en Windows 11, centrándose no solo en la interfaz y el rendimiento, sino también en la seguridad. La compañía dejará atrás uno de los protocolos de autenticación más antiguos de Windows, marcando un paso importante hacia la modernización.
Durante décadas, Windows ha utilizado NTLM (NT LAN Manager) para verificar la identidad de usuarios y equipos en redes locales. Aunque este protocolo ha sido funcional, presenta vulnerabilidades conocidas y ya no se ajusta a los estándares de seguridad actuales. Microsoft ha confirmado que las próximas versiones de Windows 11, tanto para clientes como para servidores, desactivarán NTLM por defecto.
Para cubrir los escenarios donde NTLM era indispensable, Microsoft ha introducido dos tecnologías basadas en Kerberos, su protocolo de autenticación preferido. La primera, IAKerb, está orientada a entornos empresariales donde un equipo necesita autenticarse sin acceso directo a un controlador de dominio. IAKerb permite que el servicio de destino actúe como intermediario, resolviendo una de las razones principales por las que muchas organizaciones seguían utilizando NTLM.
La segunda tecnología es LocalKDC, enfocada en la autenticación de cuentas locales, es decir, en equipos que no forman parte de una red corporativa o que operan de forma independiente. Ambas soluciones juntas cierran las brechas que impedían a muchas empresas y usuarios avanzados dar el salto a métodos de autenticación más seguros.
Aunque el fin del protocolo NTLM comienza a materializarse, Microsoft ha estado retirándolo gradualmente. La compañía fomentó inicialmente el uso de Kerberos y permitió auditorías de configuración en Windows Server 2025. El siguiente paso lógico es desactivar el protocolo por defecto, pero manteniéndolo disponible para casos muy específicos.
Según fuentes, estas novedades llegarán primero al canal Canary del programa Windows Insider. En esta versión preliminar, IAKerb vendrá activado por defecto, mientras que LocalKDC estará desactivado, aunque ambas opciones podrán modificarse manualmente desde el Registro de Windows. Microsoft planea incorporar estos ajustes en herramientas de administración y directivas de grupo con el tiempo.
Si utilizas Windows en casa sin configuraciones de red avanzadas, es probable que no notes este cambio de forma directa. El inicio de sesión seguirá funcionando igual, pero con un protocolo más moderno detrás. El objetivo de reemplazar NTLM por Kerberos es reforzar la protección contra ataques que buscan robar contraseñas.
La situación cambia en entornos corporativos donde NTLM aún se utilizaba por compatibilidad. En estos casos, los administradores deberán revisar las dependencias antes de que la transición llegue a las versiones estables del sistema.
Windows Moderniza su Seguridad: Desaparece el Protocolo NTLM
A Microsoft está a implementar uma estratégia para aprimorar a experiência no Windows 11, focando não apenas em aspetos visuais e de desempenho, mas também na segurança. A empresa eliminará um dos seus protocolos de autenticação mais antigos, dando um passo significativo em direção a padrões de segurança mais robustos.
Durante décadas, o Windows confiou no protocolo NTLM (NT LAN Manager) para verificar a identidade de utilizadores e dispositivos em redes locais. Embora tenha sido funcional, o NTLM apresenta vulnerabilidades conhecidas e já não se alinha com as práticas de segurança modernas. A Microsoft tem trabalhado na sua substituição e confirmou que as futuras versões do Windows 11, tanto para clientes como para servidores, desativarão o NTLM por defeito.
Para suprir as funcionalidades que o NTLM oferecia, a Microsoft introduziu duas tecnologias baseadas em Kerberos, o seu protocolo de autenticação preferido. A primeira, denominada IAKerb, é projetada para ambientes empresariais onde um dispositivo necessita de autenticar-se sem ter acesso direto a um controlador de domínio. O IAKerb atua como intermediário, facilitando o processo e abordando uma das principais razões pelas quais muitas organizações continuavam a utilizar o NTLM.
A segunda tecnologia, LocalKDC, foca-se na autenticação de contas locais, ou seja, para dispositivos que operam de forma independente ou que não fazem parte de uma rede corporativa. A combinação de IAKerb e LocalKDC fecha as lacunas que impediam muitas empresas e utilizadores avançados de adotar métodos de autenticação mais modernos.
Embora a desativação do NTLM marque um marco, a Microsoft tem vindo a retirá-lo gradualmente. A empresa primeiro promoveu o uso de Kerberos e depois permitiu auditorias de configuração no Windows Server 2025. O próximo passo é desativar o NTLM por defeito, mas mantendo a opção de o habilitar para casos de uso muito específicos.
De acordo com relatos, as primeiras implementações destas novidades serão introduzidas no canal Canary do programa Windows Insider. Nesta versão preliminar, o IAKerb estará ativado por defeito, enquanto o LocalKDC virá desativado, embora ambas as configurações possam ser modificadas manualmente através do Registo do Windows. Com o tempo, a Microsoft planeia integrar estes ajustes em ferramentas de gestão e políticas de grupo.
Para utilizadores domésticos sem configurações de rede complexas, é provável que esta mudança não seja percetível diretamente. O processo de login continuará a funcionar de forma semelhante, mas impulsionado por um protocolo mais moderno. O objetivo de substituir o NTLM por Kerberos é fortalecer a proteção contra ataques direcionados a roubar senhas.
A situação difere em ambientes corporativos onde o NTLM ainda era utilizado por motivos de compatibilidade. Nestes casos, os administradores deverão rever as dependências dos seus sistemas antes que a transição seja implementada nas versões estáveis do Windows.
