Microsoft on väljendanud kavatsust lõpetada järk-järgult NTLM-i autentimine Windows 11-s Kerberose kasuks koos uute varumehhanismidega.
Võtmed kaasavõtmiseks
- Microsoft loobub järk-järgult NT LAN Manageri (NTLM) kasutaja autentimisest Windows 11-s Kerberose kasuks, et parandada turvalisust.
- Ettevõte arendab Kerberose jaoks uusi varumehhanisme, nagu IAKerb ja kohalik võtmejaotuskeskus (KDC), et lahendada protokolli piirangud.
- Microsoft täiustab NTLM-i haldusjuhtelemente ja muudab Windowsi komponente, et kasutada protokolli Negotiate, eesmärgiga keelata lõpuks Windows 11 vaikimisi NTLM.
Turvalisus on esirinnas Microsofti jaoks, kui tegemist on Windowsiga, mis eeldatakse, et selle operatsioonisüsteemi kasutab üle miljardi kasutaja. Rohkem kui aasta tagasi teatas ettevõte, et on serveri sõnumibloki versioonist 1 (SMB1) vabanemine Windows 11 Home'is ja täna on see paljastanud, et kavatseb järk-järgult kaotada NT LAN Manageri (NTLM) kasutaja autentimise Kerberose kasuks.
Sees üksikasjalik ajaveebi postitus
, Microsoft on selgitanud, et Kerberos on olnud Windowsi vaikeautentimisprotokoll üle 20 aasta, kuid mõne stsenaariumi korral see ikka ebaõnnestub, mis siis tingib NTLM-i kasutamise. Nende äärmuslike juhtumite lahendamiseks töötab ettevõte Windows 11-s välja uusi varumehhanisme, näiteks Esialgne ja läbiv autentimine Kerberose (IAKerb) ja kohaliku võtmejaotuskeskuse (KDC) abil Kerberos.NTLM on endiselt populaarne, kuna sellel on mitmeid eeliseid, näiteks ei vaja kohalikku võrku ühendus domeenikontrolleriga (DC) ja sihtmärgi identiteeti ei nõuta server. Selliste eeliste ärakasutamiseks valivad arendajad mugavuse ja kodeerivad kõvasti NTLM-i rakendustes ja teenustes, isegi arvestamata turvalisemaid ja laiendatavamaid protokolle nagu Kerberos. Kuna aga Kerberosel on turvalisuse suurendamiseks teatud piirangud ja seda ei arvestata NTLM-i autentimisega kõvakodeeritud rakenduste puhul ei saa paljud organisatsioonid pärandit lihtsalt välja lülitada protokolli.
Kerberose piirangute ületamiseks ja selle arendajatele ja organisatsioonidele ahvatlevamaks muutmiseks, Microsoft loob Windows 11-sse uusi funktsioone, mis muudavad kaasaegse protokolli rakenduste ja rakenduste jaoks elujõuliseks võimaluseks teenuseid.
Esimene täiustus on IAKerb, mis on avalik laiendus, mis võimaldab autentida DC-ga läbi serveri, millel on otsejuurdepääs eelnimetatud infrastruktuurile. See kasutab Keberose puhverserveri taotluste jaoks Windowsi autentimispinu, nii et klientrakendus ei nõua DC-le nähtavust. Sõnumid on krüptograafiliselt krüpteeritud ja turvatud isegi edastamisel, mis teeb IAKerbist sobiva mehhanismi kaugautentimise keskkondades.
Teiseks on meil Kerberose jaoks kohalik KDC, mis toetab kohalikke kontosid. See kasutab nii IAKerbi kui ka kohaliku masina turvakontohaldurit (SAM), et edastada sõnumeid kohalike kaugmasinate vahel, ilma et peaks sõltuma DNS-ist, netlogonist või DCLocatorist. Tegelikult ei nõua see ka side jaoks uue pordi avamist. Oluline on märkida, et liiklus krüpteeritakse Advanced Encryption Standard (AES) plokkšifri kaudu.
NTLM-i kasutusest loobumise järgmistel etappidel muudab Microsoft ka olemasolevaid Windowsi komponente, mis on NTLM-i kasutamiseks kõvasti kodeeritud. Selle asemel kasutavad nad läbirääkimiste protokolli, et saaksid kasu IAKerbist ja Kerberose kohalikust KDC-st. NTLM-i toetatakse endiselt varumehhanismina olemasoleva ühilduvuse säilitamiseks. Vahepeal täiustab Microsoft olemasolevaid NTLM-i halduse juhtelemente, et anda organisatsioonidele rohkem teavet selle kohta, kus ja kuidas NTLM on kasutatakse nende infrastruktuuris, võimaldades neil ka täpsemat kontrolli konkreetse teenuse protokolli keelamise üle.
Muidugi on lõppeesmärk NTLM vaikimisi keelata Windows 11-s, kui telemeetriaandmed seda võimalust toetavad. Praegu on Microsoft julgustanud organisatsioone jälgima NTLM-i, auditikoodi, mis kodeerib kõvasti, kasutamist selle pärandprotokolli kasutamist ja jälgige Redmondi tehnoloogiaettevõtte edasisi värskendusi selle kohta teema.