Microsoft ha expresado su intención de eliminar gradualmente la autenticación NTLM en Windows 11 en favor de Kerberos con nuevos mecanismos alternativos.
Conclusiones clave
- Microsoft está eliminando gradualmente la autenticación de usuario de NT LAN Manager (NTLM) en favor de Kerberos en Windows 11 para mejorar la seguridad.
- La compañía está desarrollando nuevos mecanismos alternativos como IAKerb y un Centro de distribución de claves (KDC) local para Kerberos para abordar las limitaciones del protocolo.
- Microsoft está mejorando los controles de administración de NTLM y modificando los componentes de Windows para usar el protocolo Negotiate, con el objetivo de eventualmente deshabilitar NTLM de forma predeterminada en Windows 11.
La seguridad está a la vanguardia para Microsoft cuando se trata de Windows, que se espera dado que su sistema operativo es utilizado por más de mil millones de usuarios. Hace más de un año, la empresa anunció que está deshacerse de Server Message Block versión 1 (SMB1)
en un publicación de blog detallada, Microsoft explicó que Kerberos ha sido el protocolo de autenticación predeterminado en Windows durante más de 20 años, pero aún falla en algunos escenarios, lo que luego exige el uso de NTLM. Para abordar estos casos extremos, la empresa está desarrollando nuevos mecanismos alternativos en Windows 11, como Autenticación inicial y de paso mediante Kerberos (IAKerb) y un centro de distribución de claves (KDC) local para Kerberos.
NTLM sigue siendo popular porque ofrece múltiples ventajas, como no requerir una red local. conexión a un controlador de dominio (DC) y no ser necesario conocer la identidad del objetivo servidor. En un intento por aprovechar beneficios como estos, los desarrolladores optan por la comodidad y codifican NTLM. en aplicaciones y servicios sin siquiera considerar protocolos más seguros y extensibles como Kerberos. Sin embargo, dado que Kerberos tiene ciertas limitaciones para aumentar la seguridad y no se tiene en cuenta en aplicaciones que tienen autenticación NTLM codificada, muchas organizaciones no pueden simplemente desactivar la autenticación heredada. protocolo.
Para solucionar las limitaciones de Kerberos y convertirlo en una opción más atractiva para desarrolladores y organizaciones, Microsoft está creando nuevas funciones en Windows 11 que hacen del protocolo moderno una opción viable para aplicaciones y servicios.
La primera mejora es IAKerb, que es una extensión pública que permite la autenticación con un DC a través de un servidor que tiene acceso directo a la infraestructura antes mencionada. Aprovecha la pila de autenticación de Windows para representar solicitudes de Keberos de modo que la aplicación cliente no requiera visibilidad para el DC. Los mensajes están cifrados criptográficamente y protegidos incluso en tránsito, lo que convierte a IAKerb en un mecanismo adecuado en entornos de autenticación remota.
En segundo lugar, tenemos un KDC local para Kerberos para admitir cuentas locales. Esto aprovecha tanto IAKerb como el Administrador de cuentas de seguridad (SAM) de la máquina local para pasar mensajes entre máquinas locales remotas sin tener que depender de DNS, netlogon o DCLocator. De hecho, tampoco requiere abrir ningún puerto nuevo para la comunicación. Es importante tener en cuenta que el tráfico se cifra mediante el cifrado de bloque del Estándar de cifrado avanzado (AES).
Durante las próximas fases de esta desaprobación de NTLM, Microsoft también modificará los componentes existentes de Windows que están codificados para usar NTLM. En cambio, aprovecharán el protocolo Negotiate para poder beneficiarse de IAKerb y el KDC local para Kerberos. NTLM seguirá siendo compatible como mecanismo alternativo para mantener la compatibilidad existente. Mientras tanto, Microsoft está mejorando los controles de administración de NTLM existentes para brindar a las organizaciones más visibilidad sobre dónde y cómo se administra NTLM. se utilizan dentro de su infraestructura, lo que también les permite un control más granular sobre la desactivación del protocolo para un servicio en particular.
Por supuesto, el objetivo final es, en última instancia, deshabilitar NTLM de forma predeterminada en Windows 11, siempre que los datos de telemetría admitan esta oportunidad. Por ahora, Microsoft ha alentado a las organizaciones a monitorear su uso de NTLM, un código de auditoría que codifica el uso de este protocolo heredado y realizar un seguimiento de las actualizaciones adicionales de la empresa de tecnología de Redmond con respecto a este tema.