ARTICLES | 23 July 2025

NTLM Authentication กำลังจะกลายเป็นอดีตจริงหรือ ?

Athittaya Saeloh

NTLM กำลังจะถูกแทนที่ — แล้วเราต้องปรับตัวอย่างไง ?

NTLM is dead… almost?

ระบบยืนยันตัวตนสุดคลาสสิกที่เราคุ้นเคยกันดี โดยเฉพาะในงาน Red Team, Blue Team หรือ Pentest กำลังจะถูก Microsoft ปลดระวางอย่างเป็นทางการ หลังจากใช้งานกันมายาวนานหลายสิบปี แล้วแบบนี้ฝั่งผู้ป้องกันและผู้ทดสอบระบบจะต้องมีการปรับตัวอย่างไร ? บทความนี้จะสรุปให้ครบ ทั้งภาพรวม แนวทางปฏิบัติ และมุมมองเชิงเทคนิค ในวันที่ NTLM กำลังจะกลายเป็นอดีต…

เกริ่นนำ: โปรโตคอลที่ Pentester คุ้นเคย กำลังจะหมดเวที

NTLM (NT LAN Manager) คือโปรโตคอลที่ Pentester สาย Windows คุ้นเคยดี ไม่ว่าจะเป็นช่วง Recon, Lateral Movement หรือการ Dump Hash — ถือเป็นเครื่องมือหลักที่พบเจอได้บ่อยในการทำงานด้านความปลอดภัย

แต่เมื่อ Microsoft ออกมาประกาศว่า NTLM จะถูก deprecated อย่างเป็นทางการใน Windows 11 24H2 และ Windows Server 2025 ก็ทำให้เกิดคำถามขึ้นมาทันทีว่า:

แล้วตอนนี้เรายังใช้ NTLM ได้อยู่หรือไม่ ?
ถ้ามันหายไป แล้วเราจะสามารถ force ให้กลับมาใช้ได้อีกหรือเปล่า ?
งาน Pentest หรือ Red Team ที่เคยพึ่งพา NTLM จะต้องปรับตัวอย่างไร ?

ในส่วนนี้ เราจะพาไปสำรวจความเปลี่ยนแปลงที่เกิดขึ้น พร้อมเจาะลึกผลกระทบและวิธีรับมือสำหรับทั้งฝั่ง Security Engineer และ Penetration Tester

สถานะปัจจุบันของ NTLM

ใน Microsoft Ignite 2023 ที่ผ่านมา Microsoft ได้ประกาศว่า:

NTLM จะถูก deprecated ใน Windows รุ่นถัดไป และแทนที่ด้วย Kerberos และระบบการยืนยันตัวตนสมัยใหม่ เช่น Negotiate, Certificate-based Authentication และ Windows Hello for Business

อย่างไรก็ตาม ณ ตอนนี้ (กลางปี 2025) NTLM ยังคงเปิดใช้งานเป็นค่าเริ่มต้น (default) ในบางกรณี เช่น:

ระบบที่ไม่สามารถใช้ Kerberos ได้ (เช่น isolated environment หรือระบบที่ไม่มี Active Directory)
การทำงานในกรณี fallback authentication เมื่อ Kerberos ล้มเหลว

แต่ใน Windows 11 เวอร์ชัน 24H2 และ Windows Server 2025 ทาง Microsoft ระบุว่าจะมีการเปลี่ยนแปลงสำคัญ คือ:

ปิดการใช้งาน NTLM เป็นค่าเริ่มต้น (Default Disabled)
บังคับให้ใช้ Kerberos หรือโปรโตคอลการยืนยันตัวตนที่ปลอดภัยกว่า
ตัดการรองรับ NTLM ออกจากบริการบางประเภท เช่น Remote Desktop และ SMB

สรุปสั้น ๆ: NTLM ยังใช้งานได้อยู่ แต่กำลังจะ "หมดอายุ" จริงในอีกไม่กี่ปี และ Microsoft ไม่แนะนำให้ใช้แล้ว

มุมมองจากผู้เชี่ยวชาญ

Steve Syfuhs (Microsoft Identity Specialist) กล่าวในบทความ Deprecating NTLM is Easy and Other Lies We Tell Ourselves ว่า:

การเลิกใช้ NTLM ไม่ได้ง่ายอย่างที่คิด เพราะ dependency ของ NTLM กระจายอยู่ในแอปเก่า ๆ และ Third-party services มากมาย

บทเรียนจาก Syfuhs:

ผู้ดูแลระบบจำเป็นต้องทำ Inventory ระบบทั้งหมด เพื่อตรวจสอบว่า ส่วนใดยังพึ่งพา NTLM อยู่บ้าง
ต้องทำ การทดสอบ Compatibility อย่างละเอียด ก่อนจะปิด NTLM ได้อย่างปลอดภัย

ผลกระทบที่อาจเกิดขึ้นในองค์กรขนาดใหญ่

Legacy Applications: แอปพลิเคชันรุ่นเก่าหรือ ERP Systems ที่พัฒนาแบบ customized มัก hardcode การใช้ NTLM ทำให้การ migrate ไปยัง Kerberos หรือ Modern Auth อาจต้อง refactor code หรือแม้กระทั่ง re-architect ระบบบางส่วน
Third-party Services: Vendor บางรายยังไม่ support Kerberos หรือ Modern Authentication เต็มรูปแบบ ทำให้การเปลี่ยนผ่านต้องรอ software updates หรือการ patch จากผู้ผลิต
Cross-team Coordination: ต้องมี collaboration ระหว่างทีม Network, Security, และ Application Owners เพื่อทำ integration testing และลด downtime ระหว่างการปิด NTLM
Cost & Time Impact: การทำ system inventory, compatibility testing, และการ remediation ในองค์กรขนาดใหญ่ อาจใช้เวลาหลายเดือน พร้อม operational cost สูง หากระบบจำนวนมากยังมี NTLM dependency

แล้ว Microsoft แนะนำให้ใช้อะไรแทน NTLM

เพื่อเพิ่มความปลอดภัยในการยืนยันตัวตน Microsoft กำลังผลักดันให้เปลี่ยนจากการใช้งาน NTLM ไปใช้โปรโตคอลที่ทันสมัยและปลอดภัยยิ่งขึ้น ได้แก่:

1. Kerberos ยังคงเป็นโปรโตคอลหลักของ Windows Domain โดยมีความปลอดภัยสูงกว่า NTLM ด้วยการใช้ ระบบตั๋ว (ticket) และ การเข้ารหัสแบบสมมาตร (symmetric encryption) เพื่อลดความเสี่ยงจากการขโมยรหัสผ่านหรือการโจมตีแบบ Replay

ข้อดี: ไม่มีการส่งรหัสผ่านตรง ๆ ผ่านเครือข่าย ลดโอกาสที่จะถูกดักข้อมูลเพื่อขยายการโจมตี

2. Negotiate (SPNEGO) เป็นโปรโตคอลตัวกลางสำหรับเลือกใช้ Kerberos หรือ NTLM โดยอัตโนมัติขึ้นอยู่กับความพร้อมของ Server และ Client

อนาคต: เมื่อ NTLM ถูกปิดใช้งาน Negotiate จะ fallback ไปใช้ Kerberos เท่านั้น

3. Certificate-based Authentication การยืนยันตัวตนที่ใช้ใบรับรองดิจิทัล (certificate) หรือสมาร์ตการ์ด แทนรหัสผ่าน ผู้ใช้ต้องถืออุปกรณ์ที่เก็บกุญแจส่วนตัว (private key) ซึ่งจะจับคู่กับใบรับรองที่ระบบไว้วางใจ

ข้อดี: ลดความเสี่ยงจากการโจมตีที่อาศัยรหัสผ่าน เช่น credential stuffing หรือ brute-force

4. Windows Hello for Business ระบบยืนยันตัวตนแบบไร้รหัสผ่าน (passwordless) ที่ใช้เทคโนโลยีชีวมิติ (ลายนิ้วมือหรือใบหน้า) ร่วมกับ public key และ Trusted Platform Module (TPM) เพื่อเพิ่มความมั่นคงปลอดภัย

เหมาะสำหรับ: องค์กรที่ต้องการยกระดับความปลอดภัยและประสบการณ์ผู้ใช้ให้ทันสมัย

5. Cloud-based Authentication (Azure AD / Entra ID) การยืนยันตัวตนผ่านคลาวด์โดยใช้ Azure Active Directory หรือ Entra ID รองรับการทำงานแบบ hybrid หรือ cloud-native พร้อมความสามารถอย่าง Multi-Factor Authentication (MFA), Conditional Access และ Single Sign-On (SSO)

เหมาะสำหรับ: องค์กรที่กำลังย้ายระบบขึ้นคลาวด์ หรือมีผู้ใช้งานกระจายหลายแห่ง

ถ้า NTLM หายไป จะบังคับให้ Authentication ผ่าน NTLM ได้อีกหรือไม่ ?

ในระบบที่ปิดการใช้งาน NTLM แล้ว (เช่น Windows Server ที่บังคับใช้ Group Policy เพื่อปิด NTLM) ไม่สามารถบังคับให้ระบบกลับมาใช้ NTLM ได้โดยตรง เพราะระบบจะถูกบังคับให้ใช้ Protocol ที่ปลอดภัยกว่า เช่น Kerberos หรือ Modern Authentication

แม้ในบางกรณีอาจมีการ "downgrade" protocol หรือ exploit fallback point เพื่อทำให้ NTLM ถูกเรียกใช้งานได้ แต่ Windows จะบันทึกเหตุการณ์ดังกล่าวใน Event Log และอาจส่ง Security Alert เพื่อแจ้งเตือนทันที

อย่างไรก็ตาม Microsoft ยังคงเปิดให้ผู้ดูแลระบบ (Admin) สามารถ เปิด/ปิด NTLM ผ่าน Group Policy หรือ Registry ได้ หากจำเป็นต้องรองรับระบบ Legacy หรือสภาพแวดล้อมเฉพาะทาง

แล้วในงาน Pentest ยังมีโอกาสพบ NTLM ในกรณีใดบ้าง ?

Legacy system ที่ยังไม่ได้อัปเดตหรือปิด NTLM
เครื่องที่ไม่ได้ join domain (non-domain joined machines)
Services หรือแอปพลิเคชันที่ยังรองรับ fallback ไปใช้ NTLM authentication

ตารางเปรียบเทียบ: NTLM Legacy vs Modern Authentication (Post-NTLM Era)

คำแนะนำสำหรับ Blue Team และ Red Team

สำหรับ Blue Team (ฝ่ายป้องกัน)

ตรวจสอบนโยบาย Group Policy (GPO) และ Audit การใช้งาน NTLM ควรตั้งค่า GPO เพื่อเปิดใช้งานการตรวจสอบ (audit) การใช้ NTLM ในองค์กรอย่างละเอียด เพื่อให้ทราบว่ามีการใช้งาน NTLM ที่ไหนบ้างและใครเป็นผู้ใช้ การเก็บข้อมูลนี้จะช่วยให้สามารถติดตามและประเมินความเสี่ยง รวมถึงวางแผนปิดใช้งาน NTLM ในจุดที่ไม่จำเป็นได้อย่างเหมาะสม
ปิดการใช้งาน NTLM บนระบบที่ไม่จำเป็น เมื่อทราบขอบเขตการใช้งาน NTLM แล้ว ให้พิจารณาปิดการใช้งาน NTLM บนอุปกรณ์และระบบที่ไม่ต้องการใช้จริง เช่น ระบบที่รองรับ Kerberos เต็มรูปแบบหรือระบบ isolated ที่ไม่จำเป็นต้องใช้ NTLM การปิด NTLM ช่วยลดโอกาสช่องโหว่จากการโจมตีผ่าน NTLM เช่น Pass-the-Hash หรือ Relay attacks
ศึกษาและนำระบบยืนยันตัวตนแบบสมัยใหม่มาใช้ เช่น Certificate-based Authentication และ Azure AD Authentication Certificate-based Authentication ช่วยเพิ่มความมั่นคงปลอดภัยโดยไม่ต้องพึ่งพารหัสผ่านแบบเดิม และ Azure AD ช่วยรองรับการจัดการการเข้าถึงในสภาพแวดล้อม Hybrid หรือ Cloud พร้อมความสามารถ MFA และ Conditional Access ที่ช่วยป้องกันการโจมตีแบบต่าง ๆ ได้ดีขึ้น

สำหรับ Red Team และ Pentester (ฝ่ายทดสอบระบบ)

เริ่มศึกษากลยุทธ์และเทคนิคใหม่ที่เกี่ยวข้องกับ Kerberos เนื่องจาก NTLM กำลังจะถูกยกเลิก การโจมตีแบบเก่า ๆ ที่เน้น NTLM hash จะลดลง ดังนั้นทีม Red Team ควรเริ่มทำความเข้าใจและฝึกใช้เทคนิคโจมตี Kerberos เช่น AS-REP Roasting, Kerberoasting, และ Pass-the-Ticket ซึ่งเป็นวิธีที่นิยมใช้เพื่อเลื่อนสิทธิ์ในระบบที่ใช้ Kerberos
ทดลองและอัปเดตเครื่องมือที่สนับสนุน Kerberos เครื่องมือ เช่น Rubeus, Kekeo และ Impacket Kerberos modules เป็นเครื่องมือหลักที่ช่วยให้สามารถทำโจมตีและทดสอบระบบที่ใช้ Kerberos ได้อย่างมีประสิทธิภาพ ทีมทดสอบควรเรียนรู้การใช้งานเครื่องมือเหล่านี้อย่างชำนาญและติดตามการอัปเดตใหม่ ๆ เพื่อให้เท่าทันเทคโนโลยีและมาตรการป้องกันล่าสุด

บทสรุป

อย่างไรก็ตาม NTLM Authentication ไม่ได้ถูก "ยกเลิก" ในทันที เพียงแต่ทาง Microsoft นั้นได้ประกาศ Deprecate อย่างเป็นทางการแล้วใน Windows 11 24H2 และ Windows Server 2025 ซึ่งหมายความว่า:

ระบบจะ ปิดการใช้งาน NTLM เป็นค่าเริ่มต้น (Default Disabled)
Microsoft จะ หยุดการพัฒนา NTLM และ แนะนำให้เปลี่ยนไปใช้ Protocol ที่ปลอดภัยกว่า เช่น Kerberos หรือ Modern Authentication
บริการบางประเภท จะเลิกสนับสนุน NTLM อย่างสิ้นเชิง เช่น Remote Desktop และ SMB

สรุปคือ NTLM ยังไม่หายไปทันที แต่กำลังจะ "หมดอายุทางเทคนิคแล้ว" และจะค่อย ๆ ถูกถอดออกอย่างถาวรในอนาคตอันใกล้นั่นเอง

ในโลกของ Windows Authentication กำลังเกิดการเปลี่ยนแปลงครั้งใหญ่ — NTLM ซึ่งเคยเป็นแกนหลักของการยืนยันตัวตนมาหลายทศวรรษ กำลังจะกลายเป็นเพียงอดีต ฝั่ง Blue Team ต้องเร่งปรับระบบและแนวทางป้องกันให้สอดรับกับมาตรฐานความปลอดภัยรุ่นใหม่ ในขณะที่ Red Team ก็ต้องปรับเครื่องมือและเทคนิคให้เหมาะสมกับสภาพแวดล้อมที่ไม่มี NTLM อีกต่อไป

เมื่อ "เครื่องมือที่คุ้นเคย" เริ่มใช้ไม่ได้ สิ่งที่สำคัญกว่าเทคโนโลยีคือ ความสามารถในการปรับตัวให้ไวกว่า เพราะในโลกของ Cybersecurity — ผู้ที่ปรับตัวได้ก่อน คือผู้ที่ได้เปรียบเสมอ

แหล่งข้อมูลเพิ่มเติม

Up Next

ARTICLES

Jun

2025

Shadow Credentials in Active Directory: A Silent Threat

Shadow Credentials เป็นเทคนิคในการโจมตีรูปแบบหนึ่งที่ทำให้ attacker สามารถแฝงตัวเข้ายึดเครื่อง computer หรือ user ที่อยู่บน environment ของ Active Directory (AD) โดยที่ไม่จำเป็นต้องรู้รหัสผ่านของเป้าหมาย

ARTICLES

May

2025

Hey CHAT !! อธิบาย Prompt Injection

Prompt Injection คือ การโจมตีที่ผู้ไม่ประสงค์ดีทำการควบคุมหรือเปลี่ยนแปลงการทำงานของ AI โดยการแทรกคำสั่ง (Prompt) เพื่อให้สามารถทำงานนอกเหนือจากการตั้งค่าที่ถูกกำหนดไว้

ARTICLES

May

2025

ลดความเสี่ยง เพิ่มความปลอดภัย ไม่ต้องต่ออายุ SSL เองอีกต่อไป

SSL Certificate ที่หมดอายุโดยไม่รู้ตัว อาจทำให้ผู้ใช้เข้าถึงเว็บไม่ได้ สูญเสียความน่าเชื่อถือ หรือโดน Google เตือนว่า "Not Secure"