Microsoft hat die Absicht geäußert, die NTLM-Authentifizierung in Windows 11 zugunsten von Kerberos mit neuen Fallback-Mechanismen auslaufen zu lassen.
Die zentralen Thesen
- Microsoft stellt die Benutzerauthentifizierung des NT LAN Manager (NTLM) zugunsten von Kerberos in Windows 11 ein, um die Sicherheit zu verbessern.
- Das Unternehmen entwickelt neue Fallback-Mechanismen wie IAKerb und ein lokales Key Distribution Center (KDC) für Kerberos, um Einschränkungen im Protokoll zu beheben.
- Microsoft verbessert die NTLM-Verwaltungskontrollen und ändert Windows-Komponenten, um das Negotiate-Protokoll zu verwenden, mit dem Ziel, NTLM schließlich in Windows 11 standardmäßig zu deaktivieren.
Sicherheit steht im Vordergrund für Microsoft, wenn es um Windows geht, was erwartet wird, da sein Betriebssystem von über einer Milliarde Benutzern verwendet wird. Vor über einem Jahr gab das Unternehmen dies bekannt Server Message Block Version 1 (SMB1) entfernen in Windows 11 Home, und heute hat es bekannt gegeben, dass es beabsichtigt, die NT LAN Manager (NTLM)-Benutzerauthentifizierung zugunsten von Kerberos auslaufen zu lassen.
In einem ausführlicher BlogbeitragMicrosoft hat erklärt, dass Kerberos seit über 20 Jahren das Standardauthentifizierungsprotokoll unter Windows ist, in einigen Szenarien jedoch immer noch versagt, was dann die Verwendung von NTLM erforderlich macht. Um diese Randfälle anzugehen, entwickelt das Unternehmen neue Fallback-Mechanismen in Windows 11, wie z Erst- und Pass-Through-Authentifizierung mit Kerberos (IAKerb) und einem lokalen Key Distribution Center (KDC) für Kerberos.
NTLM erfreut sich nach wie vor großer Beliebtheit, da es zahlreiche Vorteile bietet, beispielsweise weil kein lokales Netzwerk erforderlich ist Verbindung zu einem Domänencontroller (DC) und es ist nicht erforderlich, die Identität des Ziels zu kennen Server. Um Vorteile wie diese zu nutzen, entscheiden sich Entwickler für Komfort und programmieren NTLM fest in Anwendungen und Diensten, ohne sicherere und erweiterbare Protokolle wie Kerberos überhaupt in Betracht zu ziehen. Da Kerberos jedoch bestimmte Einschränkungen zur Erhöhung der Sicherheit aufweist, wird dies nicht berücksichtigt Bei Anwendungen, bei denen die NTLM-Authentifizierung fest codiert ist, können viele Unternehmen die Legacy-Authentifizierung nicht einfach abschalten Protokoll.
Um die Einschränkungen von Kerberos zu umgehen und es zu einer attraktiveren Option für Entwickler und Organisationen zu machen, Microsoft baut in Windows 11 neue Funktionen ein, die das moderne Protokoll zu einer praktikablen Option für Anwendungen und machen Dienstleistungen.
Die erste Erweiterung ist IAKerb, eine öffentliche Erweiterung, die die Authentifizierung bei einem DC über einen Server ermöglicht, der direkten Zugriff auf die oben genannte Infrastruktur hat. Es nutzt den Windows-Authentifizierungsstapel, um Keberos-Anfragen weiterzuleiten, sodass die Clientanwendung keine Sichtbarkeit für den DC benötigt. Nachrichten werden kryptografisch verschlüsselt und auch während der Übertragung gesichert, was IAKerb zu einem geeigneten Mechanismus in Remote-Authentifizierungsumgebungen macht.
Zweitens haben wir ein lokales KDC für Kerberos, um lokale Konten zu unterstützen. Dies nutzt sowohl IAKerb als auch den Security Account Manager (SAM) des lokalen Computers, um Nachrichten zwischen lokalen Remotecomputern weiterzuleiten, ohne auf DNS, Netlogon oder DCLocator angewiesen zu sein. Tatsächlich ist es auch nicht erforderlich, einen neuen Port für die Kommunikation zu öffnen. Es ist wichtig zu beachten, dass der Datenverkehr mit der Blockverschlüsselung Advanced Encryption Standard (AES) verschlüsselt wird.
In den nächsten Phasen dieser NTLM-Abkündigung wird Microsoft auch vorhandene Windows-Komponenten ändern, die für die Verwendung von NTLM fest codiert sind. Stattdessen werden sie das Negotiate-Protokoll nutzen, um von IAKerb und dem lokalen KDC für Kerberos zu profitieren. NTLM wird weiterhin als Fallback-Mechanismus unterstützt, um die bestehende Kompatibilität aufrechtzuerhalten. In der Zwischenzeit verbessert Microsoft die bestehenden NTLM-Verwaltungskontrollen, um Unternehmen mehr Transparenz darüber zu geben, wo und wie sich NTLM befindet innerhalb ihrer Infrastruktur verwendet werden, was ihnen auch eine detailliertere Kontrolle über die Deaktivierung des Protokolls für einen bestimmten Dienst ermöglicht.
Das Endziel besteht natürlich darin, NTLM in Windows 11 letztendlich standardmäßig zu deaktivieren, sofern die Telemetriedaten diese Möglichkeit unterstützen. Vorerst hat Microsoft Organisationen dazu ermutigt, ihre Verwendung von NTLM zu überwachen, einem Prüfcode, der das fest codiert Nutzung dieses Legacy-Protokolls und verfolgen Sie weitere diesbezügliche Updates des Redmonder Technologieunternehmens Thema.