Depuis plusieurs années, Microsoft veut se séparer du protocole NTLM sur Windows afin de passer à l’utilisation de Kerberos. À l’occasion de son événement Build 2026, Microsoft a annoncé l’arrivée prochaine en préversion de deux composants destinés à accomplir cette tâche : IAKerb et LocalKDC.

Microsoft a de grandes difficultés à éliminer NTLM de Windows. Ce sujet revient régulièrement sur le devant de la scène et il s’éternise : preuve que NTLM est très ancré au sein du fonctionnement de Windows.

Pour atteindre cet objectif, Microsoft compte s’appuyer sur deux nouveaux composants destinés à intégrer Windows et Windows Server : IAKerb et LocalKDC. Vous avez déjà entendu ces noms-là ? C’est possible, Microsoft en a déjà parlé en octobre 2023.

Deux ans et demi plus tard, on se rapproche de la phase 2 de la feuille de route sur la fin de NTLM annoncée par Microsoft en février 2026, où ces deux composants doivent entrer en piste. La première phase étant en place depuis 2025 avec l’ajout de nouvelles capacités d’audit pour identifier les connexions NTLM.

IAKerb et LocalKDC : le combo pour éliminer NTLM

Microsoft va introduire à Windows deux composants conçus pour étendre l’usage de Kerberos dans des scénarios qui, historiquement, se soldaient par un fallback vers le protocole NTLM :

• IAKerb (Initial and pass-through Authentication for Kerberos)

Cette fonctionnalité permet au service cible d’agir comme un proxy pour les échanges de messages Kerberos. Elle s’avère utile lorsque le client a une visibilité sur le serveur applicatif mais ne dispose pas d’une connexion réseau directe avec le contrôleur de domaine (DC).

C’est une solution idéale avec les topologies réseau segmentées, les accès distants ou connectés au cloud, et les architectures où les canaux de communication vers les DC sont restreints.

“C’est important car la réduction de l’utilisation du protocole NTLM pour les identifiants d’entreprise contribue à renforcer les défenses contre le vol d’identifiants et les vecteurs d’attaque par relais, y compris les formes de déplacement latéral qui, par le passé, s’appuyaient sur le fallback vers le protocole NTLM.”, rappelle Microsoft.

• LocalKDC

Il s’agit d’une implémentation locale d’un centre de distribution de clés (KDC) utilisé par les contrôleurs de domaine Active Directory, mais implémenté directement dans Windows.

C’est indispensable d’en arriver là, car jusqu’à présent, l’authentification avec un compte local entre plusieurs machines dépendait de NTLM. LocalKDC comble ce manque en permettant à Windows d’utiliser les mécanismes de Kerberos pour les identités locales (donc les identités n’appartenant pas à un domaine).

Ce mode de fonctionnement cible les environnements en workgroup ou les scénarios d’administration et d’accès à des ressources impliquant des identités locales.

Ce qu’il faut comprendre : Windows a besoin de ces deux composants pour réduire sa dépendance à NTLM, tout en étant capable d’utiliser Kerberos pour les scénarios d’authentification rencontrés en entreprise et en local.

Ces nouveautés feront leur entrée d’ici la fin du mois dans les versions d’évaluation publiques accessibles aux membres Windows Insiders, via le canal Canary.

La configuration de IAKerb et LocalKDC

Même si cela ne reflète surement pas la configuration définitive, Microsoft a fourni des instructions à propos de la configuration d’IAKerb et de LocalKDC dans cette préversion publique.

Concrètement, l’état sera le suivant :

• IAKerb sera activé par défaut.
• LocalKDC sera désactivé par défaut.
• Les deux fonctionnalités seront configurables via des clés de registre (les valeurs prises en charge pour cette préversion étant et ).

Pas de GPO, pas de paramètres Intune pour le moment. La firme de Redmond ajoutera ces paramètres plus tard, quand il y aura un meilleur niveau de maturité.

Dans l’immédiat, les entreprises peuvent profiter de cette préversion pour tester ces futurs mécanismes d’authentification sur une machine de test. C’est l’occasion de voir s’il y a toujours du fallback NTLM (et de comprendre pourquoi) afin de se préparer à la suite des événements…

D’après la feuille de route de Microsoft, que je vous remets ci-dessous, c’est à partir de la phase 3 que Microsoft prévoit de désactiver NTLM par défaut sur Windows et Windows Server. Cela sera coordonné avec la sortie de la prochaine version de Windows Server, probablement fin 2027.

Retrouvez l’annonce officielle de Microsoft sur cette page.