أعربت Microsoft عن نيتها التخلص التدريجي من مصادقة NTLM في نظام التشغيل Windows 11 لصالح Kerberos مع وجود آليات احتياطية جديدة.
الماخذ الرئيسية
- تعمل Microsoft على التخلص التدريجي من مصادقة مستخدم NT LAN Manager (NTLM) لصالح Kerberos في نظام التشغيل Windows 11 لتحسين الأمان.
- تعمل الشركة على تطوير آليات احتياطية جديدة مثل IAKerb ومركز توزيع المفاتيح المحلي (KDC) لـ Kerberos لمعالجة القيود في البروتوكول.
- تعمل Microsoft على تحسين عناصر التحكم في إدارة NTLM وتعديل مكونات Windows لاستخدام بروتوكول التفاوض، بهدف تعطيل NTLM في النهاية بشكل افتراضي في Windows 11.
الأمن في المقدمة لشركة Microsoft عندما يتعلق الأمر بنظام Windows، والذي من المتوقع أن يشهد استخدام نظام التشغيل الخاص بها من قبل أكثر من مليار مستخدم. منذ أكثر من عام، أعلنت الشركة عن ذلك التخلص من إصدار كتلة رسائل الخادم 1 (SMB1) في Windows 11 Home، واليوم، كشفت أنها تتطلع إلى التخلص التدريجي من مصادقة مستخدم NT LAN Manager (NTLM) لصالح Kerberos.
في مشاركة مدونة مفصلةأوضحت Microsoft أن Kerberos كان بروتوكول المصادقة الافتراضي على نظام التشغيل Windows لأكثر من 20 عامًا، لكنه لا يزال يفشل في بعض السيناريوهات، مما يتطلب بعد ذلك استخدام NTLM. ومن أجل معالجة هذه الحالات المتطورة، تعمل الشركة على تطوير آليات احتياطية جديدة في نظام التشغيل Windows 11 مثل المصادقة الأولية والمرورية باستخدام Kerberos (IAKerb) ومركز توزيع المفاتيح المحلي (KDC) لـ كيربيروس.
لا يزال NTLM شائعًا لأنه يتمتع بمزايا متعددة مثل عدم الحاجة إلى شبكة محلية الاتصال بوحدة تحكم المجال (DC) وعدم مطالبتك بمعرفة هوية الهدف الخادم. في محاولة للاستفادة من مثل هذه المزايا، يختار المطورون الراحة ويقومون بتشفير NTLM بشكل صارم في التطبيقات والخدمات دون التفكير في بروتوكولات أكثر أمانًا وقابلة للتوسيع مثل Kerberos. ومع ذلك، نظرًا لأن Kerberos لديه قيود معينة لزيادة الأمان، ولم يتم أخذ ذلك في الاعتبار التطبيقات التي تحتوي على مصادقة NTLM مشفرة بشكل ثابت، لا تستطيع العديد من المؤسسات إيقاف تشغيل الإرث ببساطة بروتوكول.
للتغلب على قيود Kerberos وجعله خيارًا أكثر إغراءً للمطورين والمؤسسات، تعمل Microsoft على إنشاء ميزات جديدة في نظام التشغيل Windows 11 تجعل البروتوكول الحديث خيارًا قابلاً للتطبيق للتطبيقات و خدمات.
التحسين الأول هو IAKerb، وهو امتداد عام يسمح بالمصادقة مع DC من خلال خادم يتمتع بإمكانية الوصول المباشر إلى البنية التحتية المذكورة أعلاه. إنه يعزز مكدس مصادقة Windows لتوكيل طلبات Keberos بحيث لا يتطلب تطبيق العميل رؤية DC. يتم تشفير الرسائل وتأمينها بشكل مشفر حتى أثناء نقلها، مما يجعل IAKerb آلية مناسبة في بيئات المصادقة عن بعد.
ثانيًا، لدينا مركز KDC محلي لـ Kerberos لدعم الحسابات المحلية. يستفيد هذا من كل من IAKerb ومدير حساب الأمان (SAM) للجهاز المحلي لتمرير الرسائل بين الأجهزة المحلية البعيدة دون الحاجة إلى الاعتماد على DNS أو netlogon أو DCLocator. في الواقع، لا يتطلب الأمر فتح أي منفذ جديد للاتصال أيضًا. من المهم ملاحظة أن حركة المرور مشفرة من خلال تشفير كتلة معيار التشفير المتقدم (AES).
خلال المراحل القليلة التالية من إهمال NTLM، ستقوم Microsoft أيضًا بتعديل مكونات Windows الموجودة والتي تم ترميزها بشكل ثابت لاستخدام NTLM. وبدلاً من ذلك، سيستفيدون من بروتوكول التفاوض حتى يتمكنوا من الاستفادة من IAKerb وKDC المحلي لـ Kerberos. سيستمر دعم NTLM كآلية احتياطية للحفاظ على التوافق الحالي. في غضون ذلك، تعمل Microsoft على تحسين ضوابط إدارة NTLM الحالية لمنح المؤسسات رؤية أكبر حول مكان وكيفية وجود NTLM يتم استخدامها داخل البنية التحتية الخاصة بهم، مما يسمح لهم أيضًا بالتحكم الدقيق في تعطيل البروتوكول لخدمة معينة.
بالطبع، الهدف النهائي هو تعطيل NTLM افتراضيًا في نظام التشغيل Windows 11، طالما أن بيانات القياس عن بعد تدعم هذه الفرصة. في الوقت الحالي، شجعت Microsoft المؤسسات على مراقبة استخدامها لـ NTLM، وهو رمز التدقيق الذي يقوم بترميز الملفات استخدم هذا البروتوكول القديم، وتتبع التحديثات الإضافية من شركة Redmond التقنية بخصوص هذا الأمر عنوان.