Microsoft haluaa poistaa NTLM-todennuksen Windowsista

Microsoft on ilmaissut aikovansa luopua NTLM-todennuksen vaiheittain Windows 11:stä Kerberosin hyväksi uusilla varamekanismeilla.

Avaimet takeawayt

  • Microsoft luopuu asteittain NT LAN Managerin (NTLM) käyttäjätodennuksen käytöstä Kerberosin hyväksi Windows 11:ssä turvallisuuden parantamiseksi.
  • Yritys kehittää uusia varamekanismeja, kuten IAKerb ja paikallinen Key Distribution Center (KDC) Kerberosille korjatakseen protokollan rajoituksia.
  • Microsoft parantaa NTLM-hallintaa ja muokkaa Windowsin komponentteja Negotiate-protokollan käyttämiseksi tavoitteenaan lopulta poistaa NTLM oletusarvoisesti käytöstä Windows 11:ssä.

Turvallisuus on eturintamassa Microsoftille, kun kyse on Windowsista, jonka odotetaan olevan yli miljardin käyttäjän käytössä. Yli vuosi sitten yhtiö ilmoitti, että se on päästä eroon Server Message Block -versiosta 1 (SMB1) Windows 11 Homessa, ja tänään se on paljastanut, että se aikoo poistaa NT LAN Managerin (NTLM) käyttäjätodennuksen vaiheittain Kerberosin hyväksi.

Jonkin sisällä

yksityiskohtainen blogikirjoitus, Microsoft on selittänyt, että Kerberos on ollut Windowsin oletustodennusprotokolla yli 20 vuoden ajan, mutta se epäonnistuu silti joissakin skenaarioissa, mikä sitten edellyttää NTLM: n käyttöä. Näiden reunatapausten ratkaisemiseksi yritys kehittää uusia varamekanismeja Windows 11:een, kuten Alku- ja läpivientitodennus Kerberosin (IAKerb) ja paikallisen avainten jakelukeskuksen (KDC) avulla Kerberos.

NTLM on edelleen suosittu, koska siinä on useita etuja, kuten se, että se ei vaadi paikallista verkkoa yhteys verkkotunnuksen ohjaimeen (DC) eikä sinun tarvitse tietää kohteen identiteettiä palvelin. Tällaisten etujen hyödyntämiseksi kehittäjät valitsevat mukavuuden ja koodaavat NTLM: n sovelluksissa ja palveluissa edes harkitsematta turvallisempia ja laajennettavissa olevia protokollia, kuten Kerberos. Koska Kerberosilla on kuitenkin tiettyjä rajoituksia turvallisuuden lisäämiseksi, eikä sitä oteta huomioon Sovellukset, joissa NTLM-todennus on kovakoodattu, monet organisaatiot eivät voi yksinkertaisesti sammuttaa perintöä protokollaa.

Kerberosin rajoitusten kiertämiseksi ja siitä houkuttelevammaksi vaihtoehdoksi kehittäjille ja organisaatioille, Microsoft rakentaa Windows 11:een uusia ominaisuuksia, jotka tekevät nykyaikaisesta protokollasta käyttökelpoisen vaihtoehdon sovelluksille ja palvelut.

Ensimmäinen parannus on IAKerb, joka on julkinen laajennus, joka mahdollistaa todennuksen DC: llä palvelimen kautta, jolla on näköyhteys edellä mainittuun infrastruktuuriin. Se hyödyntää Windowsin todennuspinoa Keberos-välityspalvelimen pyyntöihin, jotta asiakassovellus ei vaadi näkyvyyttä DC: lle. Viestit ovat kryptografisesti salattuja ja suojattuja jopa kuljetuksen aikana, mikä tekee IAKerbistä sopivan mekanismin etätunnistusympäristöissä.

Toiseksi meillä on paikallinen KDC Kerberosille paikallisten tilien tukemiseksi. Tämä hyödyntää sekä IAKerbia että paikallisen koneen Security Account Manageria (SAM) viestien välittämiseen paikallisten etäkoneiden välillä tarvitsematta riippua DNS: stä, netlogonista tai DCLocatorista. Itse asiassa se ei myöskään vaadi uuden portin avaamista viestintää varten. On tärkeää huomata, että liikenne salataan Advanced Encryption Standard (AES) -lohkosalauksen avulla.

Tämän NTLM-poiston muutaman seuraavan vaiheen aikana Microsoft muuttaa myös olemassa olevia Windows-komponentteja, jotka on koodattu käyttämään NTLM: ää. Sen sijaan he hyödyntävät Negotiate-protokollaa, jotta he voivat hyötyä IAKerbistä ja paikallisesta Kerberosin KDC: stä. NTLM: ää tuetaan edelleen varamekanismina olemassa olevan yhteensopivuuden ylläpitämiseksi. Sillä välin Microsoft parantaa olemassa olevia NTLM-hallintalaitteita antaakseen organisaatioille enemmän näkyvyyttä siitä, missä ja miten NTLM on joita käytetään heidän infrastruktuurissaan, mikä antaa heille myös tarkemman hallinnan tietyn palvelun protokollan käytöstä poistamiseen.

Tietenkin lopullisena tavoitteena on lopulta poistaa NTLM oletusarvoisesti käytöstä Windows 11:ssä, kunhan telemetriatiedot tukevat tätä mahdollisuutta. Toistaiseksi Microsoft on rohkaissut organisaatioita seuraamaan NTLM: n käyttöä, tarkastuskoodia, joka koodaa NTLM: n käyttää tätä vanhaa protokollaa ja seurata Redmondin teknologiayrityksen tätä koskevia päivityksiä aihe.