Microsoft a exprimé son intention de supprimer progressivement l'authentification NTLM dans Windows 11 au profit de Kerberos avec la mise en place de nouveaux mécanismes de secours.
Points clés à retenir
- Microsoft supprime progressivement l'authentification des utilisateurs NT LAN Manager (NTLM) au profit de Kerberos dans Windows 11 pour améliorer la sécurité.
- La société développe de nouveaux mécanismes de secours comme IAKerb et un centre de distribution de clés (KDC) local pour Kerberos afin de remédier aux limitations du protocole.
- Microsoft améliore les contrôles de gestion NTLM et modifie les composants Windows pour utiliser le protocole Négocier, dans le but de désactiver éventuellement NTLM par défaut dans Windows 11.
La sécurité est au premier plan pour Microsoft en ce qui concerne Windows, ce qui est attendu puisque son système d'exploitation est utilisé par plus d'un milliard d'utilisateurs. Il y a plus d'un an, la société a annoncé qu'elle se débarrasser de Server Message Block version 1 (SMB1)
dans Windows 11 Home, et aujourd'hui, il a révélé qu'il envisageait de supprimer progressivement l'authentification des utilisateurs NT LAN Manager (NTLM) au profit de Kerberos.Dans un article de blog détaillé, Microsoft a expliqué que Kerberos est le protocole d'authentification par défaut sous Windows depuis plus de 20 ans, mais il échoue toujours dans certains scénarios, ce qui impose alors l'utilisation de NTLM. Afin de faire face à ces cas extrêmes, la société développe de nouveaux mécanismes de repli dans Windows 11 tels que Authentification initiale et directe à l'aide de Kerberos (IAKerb) et d'un centre de distribution de clés (KDC) local pour Kerberos.
NTLM est toujours populaire car il présente de multiples avantages, tels que le fait de ne pas nécessiter de réseau local. connexion à un contrôleur de domaine (DC) et ne pas avoir besoin de connaître l'identité de la cible serveur. Dans le but de tirer parti de tels avantages, les développeurs optent pour la commodité et codent en dur NTLM. dans les applications et les services sans même envisager des protocoles plus sécurisés et extensibles comme Kerberos. Cependant, étant donné que Kerberos présente certaines limites pour accroître la sécurité et qu'il n'est pas pris en compte dans applications qui ont une authentification NTLM codée en dur, de nombreuses organisations ne peuvent pas simplement désactiver l'héritage protocole.
Afin de contourner les limites de Kerberos et d'en faire une option plus attrayante pour les développeurs et les organisations, Microsoft crée de nouvelles fonctionnalités dans Windows 11 qui font du protocole moderne une option viable pour les applications et prestations de service.
La première amélioration est IAKerb, qui est une extension publique qui permet l'authentification auprès d'un contrôleur de domaine via un serveur ayant un accès en visibilité directe à l'infrastructure susmentionnée. Il exploite la pile d'authentification Windows pour proxyer les requêtes Keberos afin que l'application cliente n'ait pas besoin de visibilité sur le contrôleur de domaine. Les messages sont chiffrés cryptographiquement et sécurisés même en transit, ce qui fait d'IAKerb un mécanisme approprié dans les environnements d'authentification à distance.
Deuxièmement, nous disposons d'un KDC local pour Kerberos afin de prendre en charge les comptes locaux. Cela tire parti à la fois d'IAKerb et du gestionnaire de comptes de sécurité (SAM) de la machine locale pour transmettre des messages entre des machines locales distantes sans avoir à dépendre du DNS, de netlogon ou de DCLocator. En fait, cela ne nécessite pas non plus d’ouvrir un nouveau port pour la communication. Il est important de noter que le trafic est chiffré via le chiffrement par bloc Advanced Encryption Standard (AES).
Au cours des prochaines phases de cette dépréciation de NTLM, Microsoft modifiera également les composants Windows existants qui sont codés en dur pour utiliser NTLM. Au lieu de cela, ils exploiteront le protocole Négocier afin de pouvoir bénéficier d’IAKerb et du KDC local pour Kerberos. NTLM continuera à être pris en charge comme mécanisme de secours pour maintenir la compatibilité existante. Entre-temps, Microsoft améliore les contrôles de gestion NTLM existants pour donner aux organisations plus de visibilité sur où et comment NTLM est utilisé. étant utilisé au sein de leur infrastructure, leur permettant également un contrôle plus granulaire sur la désactivation du protocole pour un service particulier.
Bien entendu, l’objectif final est de désactiver NTLM par défaut dans Windows 11, à condition que les données de télémétrie prennent en charge cette opportunité. Pour l'instant, Microsoft a encouragé les organisations à surveiller leur utilisation de NTLM, un code d'audit qui code en dur les données. utilisation de cet ancien protocole et suivre les autres mises à jour de la société technologique de Redmond à ce sujet sujet.