Η Microsoft έχει εκφράσει την πρόθεση να καταργήσει σταδιακά τον έλεγχο ταυτότητας NTLM στα Windows 11 υπέρ του Kerberos με νέους εναλλακτικούς μηχανισμούς.
Βασικά Takeaways
- Η Microsoft καταργεί σταδιακά τον έλεγχο ταυτότητας χρήστη NT LAN Manager (NTLM) υπέρ του Kerberos στα Windows 11 για να βελτιώσει την ασφάλεια.
- Η εταιρεία αναπτύσσει νέους εναλλακτικούς μηχανισμούς όπως το IAKerb και ένα τοπικό Κέντρο Διανομής Κλειδιών (KDC) για την Kerberos για την αντιμετώπιση των περιορισμών στο πρωτόκολλο.
- Η Microsoft ενισχύει τα στοιχεία ελέγχου διαχείρισης NTLM και τροποποιεί τα στοιχεία των Windows για χρήση του πρωτοκόλλου Negotiate, με στόχο να απενεργοποιήσει τελικά το NTLM από προεπιλογή στα Windows 11.
Η ασφάλεια είναι στην πρώτη γραμμή για τη Microsoft όσον αφορά τα Windows, η οποία αναμένεται επειδή το λειτουργικό της σύστημα χρησιμοποιείται από πάνω από ένα δισεκατομμύριο χρήστες. Πριν από περισσότερο από ένα χρόνο, η εταιρεία ανακοίνωσε ότι είναι απαλλαγή από το μπλοκ μηνυμάτων διακομιστή έκδοση 1 (SMB1)
στα Windows 11 Home, και σήμερα, αποκάλυψε ότι προσπαθεί να καταργήσει σταδιακά τον έλεγχο ταυτότητας χρήστη NT LAN Manager (NTLM) υπέρ του Kerberos.Σε ένα αναλυτική ανάρτηση ιστολογίου, η Microsoft εξήγησε ότι το Kerberos ήταν το προεπιλεγμένο πρωτόκολλο ελέγχου ταυτότητας στα Windows για περισσότερα από 20 χρόνια, αλλά εξακολουθεί να αποτυγχάνει σε ορισμένα σενάρια, κάτι που στη συνέχεια επιβάλλει τη χρήση του NTLM. Προκειμένου να αντιμετωπίσει αυτές τις ακραίες περιπτώσεις, η εταιρεία αναπτύσσει νέους εναλλακτικούς μηχανισμούς στα Windows 11, όπως π. Αρχικός έλεγχος ταυτότητας και έλεγχος ταυτότητας μέσω Kerberos (IAKerb) και ενός τοπικού Κέντρου Διανομής Κλειδιών (KDC) για Kerberos.
Το NTLM εξακολουθεί να είναι δημοφιλές επειδή διαθέτει πολλαπλά πλεονεκτήματα, όπως η μη απαίτηση τοπικού δικτύου σύνδεση με έναν ελεγκτή τομέα (DC) και δεν απαιτείται να γνωρίζει την ταυτότητα του στόχου υπηρέτης. Σε μια προσπάθεια να αξιοποιήσουν πλεονεκτήματα όπως αυτά, οι προγραμματιστές επιλέγουν την ευκολία και έχουν σκληρή κωδικοποίηση NTLM σε εφαρμογές και υπηρεσίες χωρίς καν να σκεφτόμαστε πιο ασφαλή και επεκτάσιμα πρωτόκολλα όπως το Kerberos. Ωστόσο, δεδομένου ότι το Kerberos έχει ορισμένους περιορισμούς για την αύξηση της ασφάλειας και δεν λαμβάνεται υπόψη εφαρμογές που έχουν έλεγχο ταυτότητας NTLM ενσωματωμένο, πολλοί οργανισμοί δεν μπορούν απλώς να απενεργοποιήσουν το κληρονομημένο πρωτόκολλο.
Για να αντιμετωπίσετε τους περιορισμούς του Kerberos και να το κάνετε πιο δελεαστική επιλογή για προγραμματιστές και οργανισμούς, Η Microsoft δημιουργεί νέες δυνατότητες στα Windows 11 που κάνουν το σύγχρονο πρωτόκολλο βιώσιμη επιλογή για εφαρμογές και Υπηρεσίες.
Η πρώτη βελτίωση είναι το IAKerb, το οποίο είναι μια δημόσια επέκταση που επιτρέπει τον έλεγχο ταυτότητας με DC μέσω ενός διακομιστή που έχει άμεση πρόσβαση στην προαναφερθείσα υποδομή. Αξιοποιεί τη στοίβα ελέγχου ταυτότητας των Windows σε αιτήματα Keberos μεσολάβησης, έτσι ώστε η εφαρμογή-πελάτης να μην απαιτεί ορατότητα στο DC. Τα μηνύματα είναι κρυπτογραφικά κρυπτογραφημένα και ασφαλισμένα ακόμη και κατά τη μεταφορά, γεγονός που καθιστά το IAKerb κατάλληλο μηχανισμό σε απομακρυσμένα περιβάλλοντα ελέγχου ταυτότητας.
Δεύτερον, έχουμε ένα τοπικό KDC για το Kerberos για την υποστήριξη τοπικών λογαριασμών. Αυτό εκμεταλλεύεται τόσο το IAKerb όσο και το Security Account Manager (SAM) του τοπικού μηχανήματος για να διαβιβάζει μηνύματα μεταξύ απομακρυσμένων τοπικών μηχανημάτων χωρίς να χρειάζεται να εξαρτάται από DNS, netlogon ή DCLocator. Στην πραγματικότητα, δεν απαιτεί ούτε άνοιγμα νέας θύρας για επικοινωνία. Είναι σημαντικό να σημειωθεί ότι η κίνηση κρυπτογραφείται μέσω του κωδικού μπλοκ Advanced Encryption Standard (AES).
Κατά τη διάρκεια των επόμενων φάσεων αυτής της κατάργησης του NTLM, η Microsoft θα τροποποιήσει επίσης τα υπάρχοντα στοιχεία των Windows που είναι κωδικοποιημένα για χρήση του NTLM. Αντίθετα, θα αξιοποιήσουν το πρωτόκολλο Negotiate ώστε να μπορούν να επωφεληθούν από το IAKerb και το τοπικό KDC για το Kerberos. Το NTLM θα συνεχίσει να υποστηρίζεται ως εναλλακτικός μηχανισμός για τη διατήρηση της υπάρχουσας συμβατότητας. Στο μεταξύ, η Microsoft ενισχύει τα υπάρχοντα στοιχεία ελέγχου διαχείρισης NTLM για να δώσει στους οργανισμούς μεγαλύτερη ορατότητα σχετικά με το πού και πώς είναι το NTLM που χρησιμοποιούνται στην υποδομή τους, επιτρέποντάς τους επίσης πιο αναλυτικό έλεγχο για την απενεργοποίηση του πρωτοκόλλου για μια συγκεκριμένη υπηρεσία.
Φυσικά, ο τελικός στόχος είναι να απενεργοποιηθεί τελικά το NTLM από προεπιλογή στα Windows 11, εφόσον τα δεδομένα τηλεμετρίας υποστηρίζουν αυτήν την ευκαιρία. Προς το παρόν, η Microsoft έχει ενθαρρύνει τους οργανισμούς να παρακολουθούν τη χρήση του NTLM, κώδικα ελέγχου που κωδικοποιεί σκληρούς κωδικούς χρήση αυτού του πρωτοκόλλου παλαιού τύπου και παρακολουθήστε περαιτέρω ενημερώσεις από την εταιρεία τεχνολογίας Redmond σχετικά με αυτό θέμα.