Microsoft изрази намерение постепенно да премахне NTLM удостоверяването в Windows 11 в полза на Kerberos с нови резервни механизми.
Ключови изводи
- Microsoft постепенно премахва потребителското удостоверяване на NT LAN Manager (NTLM) в полза на Kerberos в Windows 11, за да подобри сигурността.
- Компанията разработва нови резервни механизми като IAKerb и локален център за разпределение на ключове (KDC) за Kerberos за справяне с ограниченията в протокола.
- Microsoft подобрява контролите за управление на NTLM и модифицира компонентите на Windows, за да използват протокола за преговори, с цел в крайна сметка да деактивира NTLM по подразбиране в Windows 11.
Сигурността е на преден план за Microsoft, когато става въпрос за Windows, което се очаква, като се има предвид, че неговата операционна система се използва от над милиард потребители. Преди повече от година компанията обяви, че е премахване на блока за съобщения на сървъра версия 1 (SMB1) в Windows 11 Home, а днес разкри, че се стреми постепенно да премахне потребителското удостоверяване на NT LAN Manager (NTLM) в полза на Kerberos.
В подробна публикация в блога, Microsoft обясни, че Kerberos е протоколът за удостоверяване по подразбиране в Windows повече от 20 години, но все още се проваля в някои сценарии, което налага използването на NTLM. За да се справи с тези крайни случаи, фирмата разработва нови резервни механизми в Windows 11, като напр Първоначално и преминаващо удостоверяване с помощта на Kerberos (IAKerb) и локален център за разпространение на ключове (KDC) за Kerberos.
NTLM все още е популярен, защото предлага множество предимства, като например липсата на локална мрежа връзка с контролер на домейн (DC) и не се изисква да знаете самоличността на целта сървър. В опит да се възползват от предимства като тези, разработчиците избират удобството и твърдо кодират NTLM в приложения и услуги, без дори да обмисля по-сигурни и разширяеми протоколи като Kerberos. Въпреки това, тъй като Kerberos има определени ограничения за повишаване на сигурността, и това не се отчита в приложения, които имат твърдо кодирано удостоверяване на NTLM, много организации не могат просто да изключат наследеното протокол.
За да заобиколите ограниченията на Kerberos и да го направите по-привлекателна опция за разработчици и организации, Microsoft изгражда нови функции в Windows 11, които правят модерния протокол жизнеспособна опция за приложения и услуги.
Първото подобрение е IAKerb, което е публично разширение, което позволява удостоверяване с DC през сървър, който има пряк достъп до гореспоменатата инфраструктура. Той използва стека за удостоверяване на Windows за прокси заявки на Keberos, така че клиентското приложение да не изисква видимост към DC. Съобщенията са криптографски криптирани и защитени дори при транзит, което прави IAKerb подходящ механизъм в отдалечени среди за удостоверяване.
Второ, имаме локален KDC за Kerberos за поддръжка на локални акаунти. Това се възползва както от IAKerb, така и от мениджъра на акаунти за сигурност на локалната машина (SAM), за да предава съобщения между отдалечени локални машини, без да се налага да зависи от DNS, netlogon или DCLocator. Всъщност това също не изисква отваряне на нов порт за комуникация. Важно е да се отбележи, че трафикът е криптиран чрез блоковия шифър на Advanced Encryption Standard (AES).
През следващите няколко фази на това оттегляне на NTLM Microsoft също ще модифицира съществуващи компоненти на Windows, които са твърдо кодирани да използват NTLM. Вместо това те ще използват протокола за преговори, за да могат да се възползват от IAKerb и местния KDC за Kerberos. NTLM ще продължи да се поддържа като резервен механизъм за поддържане на съществуваща съвместимост. Междувременно Microsoft подобрява съществуващите контроли за управление на NTLM, за да даде на организациите повече видимост за това къде и как се намира NTLM се използва в рамките на тяхната инфраструктура, което също им позволява по-подробен контрол върху деактивирането на протокола за конкретна услуга.
Разбира се, крайната цел е в крайна сметка да деактивирате NTLM по подразбиране в Windows 11, стига телеметричните данни да поддържат тази възможност. Засега Microsoft насърчи организациите да наблюдават използването на NTLM, код за проверка, който твърдо кодира използване на този наследен протокол и следете по-нататъшни актуализации от технологичната фирма Redmond по отношение на това тема.