Společnost Microsoft vyjádřila záměr postupně ukončit ověřování NTLM ve Windows 11 ve prospěch Kerberos s novými záložními mechanismy.
Klíčové věci
- Microsoft postupně vyřazuje ověřování uživatelů NT LAN Manager (NTLM) ve prospěch Kerberos ve Windows 11, aby se zlepšilo zabezpečení.
- Společnost vyvíjí nové záložní mechanismy, jako je IAKerb a místní centrum distribuce klíčů (KDC) pro Kerberos, které řeší omezení v protokolu.
- Společnost Microsoft vylepšuje ovládací prvky správy NTLM a upravuje součásti Windows tak, aby používaly protokol Negotiate, s cílem nakonec ve výchozím nastavení ve Windows 11 zakázat NTLM.
Bezpečnost je v popředí pro Microsoft, pokud jde o Windows, od kterého se očekává, že jeho operační systém využívá více než miliarda uživatelů. Před více než rokem společnost oznámila, že ano odstranění Server Message Block verze 1 (SMB1) ve Windows 11 Home a dnes odhalila, že se chystá vyřadit ověřování uživatelů NT LAN Manager (NTLM) ve prospěch Kerberos.
V podrobný blogový příspěvek
NTLM je stále populární, protože nabízí řadu výhod, jako je například to, že nevyžaduje místní síť připojení k řadiči domény (DC) a není vyžadováno znát identitu cíle server. Ve snaze využít výhod, jako jsou tyto, se vývojáři rozhodli pro pohodlí a pevně zakódovali NTLM v aplikacích a službách bez ohledu na bezpečnější a rozšiřitelné protokoly, jako je Kerberos. Vzhledem k tomu, že Kerberos má určitá omezení pro zvýšení bezpečnosti a není s ním započítáno aplikace, které mají NTLM autentizaci pevně zakódovanou, mnoho organizací nemůže jednoduše vypnout starší verzi protokol.
Chcete-li obejít omezení Kerberos a udělat z něj lákavější možnost pro vývojáře a organizace, Microsoft vytváří nové funkce v systému Windows 11, díky nimž je moderní protokol životaschopnou možností pro aplikace a služby.
Prvním vylepšením je IAKerb, což je veřejné rozšíření, které umožňuje autentizaci s DC prostřednictvím serveru, který má přímý přístup k výše uvedené infrastruktuře. Využívá ověřovací zásobník Windows k proxy požadavkům Keberos, takže klientská aplikace nevyžaduje viditelnost pro DC. Zprávy jsou kryptograficky šifrovány a zabezpečeny i při přenosu, což z IAKerbu dělá vhodný mechanismus v prostředích vzdálené autentizace.
Za druhé, máme místní KDC pro Kerberos na podporu místních účtů. To využívá IAKerb a správce zabezpečení účtů místního počítače (SAM) k předávání zpráv mezi vzdálenými místními počítači, aniž byste museli být závislí na DNS, netlogon nebo DCLocator. Ve skutečnosti také nevyžaduje otevření žádného nového portu pro komunikaci. Je důležité si uvědomit, že provoz je šifrován pomocí blokové šifry Advanced Encryption Standard (AES).
Během několika příštích fází tohoto ukončení podpory NTLM společnost Microsoft také upraví stávající součásti systému Windows, které jsou pevně zakódovány pro použití NTLM. Místo toho využijí protokol Negotiate, aby mohli těžit z IAKerb a místního KDC pro Kerberos. NTLM bude nadále podporován jako záložní mechanismus pro zachování stávající kompatibility. Mezitím Microsoft vylepšuje stávající ovládací prvky správy NTLM, aby organizacím poskytl lepší přehled o tom, kde a jak je NTLM používat v rámci jejich infrastruktury, což jim také umožňuje podrobnější kontrolu nad deaktivací protokolu pro konkrétní službu.
Konečným cílem je samozřejmě ve výchozím nastavení ve Windows 11 deaktivovat NTLM, pokud telemetrická data tuto příležitost podporují. Společnost Microsoft prozatím vyzvala organizace, aby sledovaly, jak používají NTLM, auditní kód, který je pevně zakódován používání tohoto staršího protokolu a sledujte další aktualizace od redmondské technologické firmy týkající se tohoto téma.