Microsoft har udtrykt hensigten om at udfase NTLM-godkendelse i Windows 11 til fordel for Kerberos med nye fallback-mekanismer på plads.
Nøgle takeaways
- Microsoft udfaser NT LAN Manager (NTLM) brugergodkendelse til fordel for Kerberos i Windows 11 for at forbedre sikkerheden.
- Virksomheden udvikler nye fallback-mekanismer som IAKerb og et lokalt nøgledistributionscenter (KDC) til Kerberos for at håndtere begrænsninger i protokollen.
- Microsoft forbedrer NTLM-styringskontroller og ændrer Windows-komponenter til at bruge Negotiate-protokollen med det mål i sidste ende at deaktivere NTLM som standard i Windows 11.
Sikkerheden er i højsædet for Microsoft, når det kommer til Windows, som forventes, da dets styresystem bruges af over en milliard brugere. For over et år siden meddelte virksomheden, at det er at slippe af med Server Message Block version 1 (SMB1) i Windows 11 Home, og i dag har det afsløret, at det søger at udfase NT LAN Manager (NTLM) brugergodkendelse til fordel for Kerberos.
I en
detaljeret blogindlæg, har Microsoft forklaret, at Kerberos har været standardgodkendelsesprotokol på Windows i over 20 år, men den fejler stadig i nogle scenarier, som så kræver brug af NTLM. For at tackle disse kantsager udvikler firmaet nye fallback-mekanismer i Windows 11 som f.eks Initial- og Pass Through-godkendelse ved hjælp af Kerberos (IAKerb) og et lokalt nøgledistributionscenter (KDC) til Kerberos.NTLM er stadig populært, fordi det har flere fordele, såsom ikke at kræve et lokalt netværk forbindelse til en domænecontroller (DC) og ikke er forpligtet til at kende identiteten af målet server. I et forsøg på at udnytte fordele som disse, vælger udviklere for bekvemmelighed og hårdkoder NTLM i applikationer og tjenester uden overhovedet at overveje mere sikre og udvidelige protokoller som Kerberos. Men da Kerberos har visse begrænsninger for at øge sikkerheden, og det er ikke taget højde for applikationer, der har NTLM-godkendelse hårdkodet, kan mange organisationer ikke bare slå arven fra protokol.
For at omgå Kerberos' begrænsninger og gøre det til en mere lokkende mulighed for udviklere og organisationer, Microsoft bygger nye funktioner i Windows 11, der gør den moderne protokol til en levedygtig mulighed for applikationer og tjenester.
Den første forbedring er IAKerb, som er en offentlig udvidelse, der tillader godkendelse med en DC gennem en server, som har line-of-sight adgang til den førnævnte infrastruktur. Det udnytter Windows-godkendelsesstakken til proxy Keberos-anmodninger, så klientapplikationen ikke kræver synlighed til DC. Meddelelser krypteres kryptografisk og sikres selv under transit, hvilket gør IAKerb til en passende mekanisme i fjerngodkendelsesmiljøer.
For det andet har vi en lokal KDC for Kerberos til at understøtte lokale konti. Dette udnytter både IAKerb og den lokale maskine's Security Account Manager (SAM) til at sende meddelelser mellem lokale fjernmaskiner uden at være afhængig af DNS, netlogon eller DCLocator. Faktisk kræver det heller ikke at åbne nogen ny port for kommunikation. Det er vigtigt at bemærke, at trafikken er krypteret gennem Advanced Encryption Standard (AES) blokchiffer.
I løbet af de næste par faser af denne NTLM-udfasning vil Microsoft også ændre eksisterende Windows-komponenter, som er hårdkodet til at bruge NTLM. I stedet vil de udnytte Negotiate-protokollen, så de kan drage fordel af IAKerb og det lokale KDC for Kerberos. NTLM vil stadig blive understøttet som en reservemekanisme for at opretholde eksisterende kompatibilitet. I mellemtiden forbedrer Microsoft eksisterende NTLM-styringskontroller for at give organisationer mere synlighed over, hvor og hvordan NTLM er bliver brugt i deres infrastruktur, hvilket også giver dem mulighed for mere detaljeret kontrol over deaktivering af protokollen for en bestemt tjeneste.
Selvfølgelig er slutmålet i sidste ende at deaktivere NTLM som standard i Windows 11, så længe telemetridataene understøtter denne mulighed. Indtil videre har Microsoft opfordret organisationer til at overvåge deres brug af NTLM, revisionskode, der hårdkoder brug af denne ældre protokol, og hold styr på yderligere opdateringer fra Redmond-teknologifirmaet vedrørende dette emne.