माइक्रोसॉफ्ट ने नए फ़ॉलबैक तंत्र के साथ केर्बरोस के पक्ष में विंडोज 11 में एनटीएलएम प्रमाणीकरण को चरणबद्ध तरीके से समाप्त करने का इरादा व्यक्त किया है।
चाबी छीनना
- सुरक्षा में सुधार के लिए Microsoft Windows 11 में Kerberos के पक्ष में NT LAN प्रबंधक (NTLM) उपयोगकर्ता प्रमाणीकरण को चरणबद्ध तरीके से समाप्त कर रहा है।
- कंपनी प्रोटोकॉल में सीमाओं को संबोधित करने के लिए IAKerb और Kerberos के लिए एक स्थानीय कुंजी वितरण केंद्र (KDC) जैसे नए फ़ॉलबैक तंत्र विकसित कर रही है।
- माइक्रोसॉफ्ट एनटीएलएम प्रबंधन नियंत्रण को बढ़ा रहा है और नेगोशिएट प्रोटोकॉल का उपयोग करने के लिए विंडोज घटकों को संशोधित कर रहा है, जिसका लक्ष्य अंततः विंडोज 11 में डिफ़ॉल्ट रूप से एनटीएलएम को अक्षम करना है।
सुरक्षा सबसे आगे है जब विंडोज़ की बात आती है तो माइक्रोसॉफ्ट के लिए, यह देखते हुए उम्मीद की जाती है कि इसके ऑपरेटिंग सिस्टम का उपयोग एक अरब से अधिक उपयोगकर्ताओं द्वारा किया जाता है। एक साल से अधिक समय पहले, कंपनी ने घोषणा की थी कि यह है सर्वर संदेश ब्लॉक संस्करण 1 (एसएमबी1) से छुटकारा पाना विंडोज 11 होम में, और आज, यह पता चला है कि वह कर्बेरोस के पक्ष में एनटी लैन मैनेजर (एनटीएलएम) उपयोगकर्ता प्रमाणीकरण को चरणबद्ध तरीके से समाप्त करना चाहता है।
में एक विस्तृत ब्लॉग पोस्ट, माइक्रोसॉफ्ट ने समझाया है कि केर्बरोस 20 वर्षों से अधिक समय से विंडोज़ पर डिफ़ॉल्ट प्रमाणीकरण प्रोटोकॉल रहा है, लेकिन यह अभी भी कुछ परिदृश्यों में विफल रहता है, जो तब एनटीएलएम के उपयोग को अनिवार्य करता है। इन गंभीर मामलों से निपटने के लिए, कंपनी विंडोज़ 11 में नए फ़ॉलबैक तंत्र विकसित कर रही है केर्बरोस (IAKerb) और एक स्थानीय कुंजी वितरण केंद्र (KDC) का उपयोग करके प्रारंभिक और प्रमाणीकरण पास करें केर्बरोस।
एनटीएलएम अभी भी लोकप्रिय है क्योंकि इसमें स्थानीय नेटवर्क की आवश्यकता न होने जैसे कई फायदे हैं एक डोमेन नियंत्रक (डीसी) से कनेक्शन और लक्ष्य की पहचान जानने की आवश्यकता नहीं है सर्वर. इस तरह के लाभों का लाभ उठाने के लिए, डेवलपर्स सुविधा का विकल्प चुन रहे हैं और एनटीएलएम को हार्ड-कोड कर रहे हैं केर्बरोस जैसे अधिक सुरक्षित और एक्स्टेंसिबल प्रोटोकॉल पर विचार किए बिना भी अनुप्रयोगों और सेवाओं में। हालाँकि, चूंकि केर्बरोस के पास सुरक्षा बढ़ाने की कुछ सीमाएँ हैं, और इसका कोई हिसाब नहीं है जिन अनुप्रयोगों में एनटीएलएम प्रमाणीकरण हार्ड-कोडित है, कई संगठन आसानी से विरासत को बंद नहीं कर सकते हैं शिष्टाचार।
कर्बेरोस की सीमाओं के आसपास काम करने और इसे डेवलपर्स और संगठनों के लिए अधिक आकर्षक विकल्प बनाने के लिए, माइक्रोसॉफ्ट विंडोज़ 11 में नई सुविधाएँ बना रहा है जो आधुनिक प्रोटोकॉल को अनुप्रयोगों के लिए एक व्यवहार्य विकल्प बनाती हैं सेवाएँ।
पहला संवर्द्धन IAKerb है, जो एक सार्वजनिक एक्सटेंशन है जो एक सर्वर के माध्यम से DC के साथ प्रमाणीकरण की अनुमति देता है जिसमें उपरोक्त बुनियादी ढांचे तक लाइन-ऑफ़-विज़न पहुंच होती है। यह प्रॉक्सी केबरोस अनुरोधों के लिए विंडोज प्रमाणीकरण स्टैक का लाभ उठाता है ताकि क्लाइंट एप्लिकेशन को डीसी की दृश्यता की आवश्यकता न हो। संदेशों को क्रिप्टोग्राफ़िक रूप से एन्क्रिप्ट किया जाता है और ट्रांज़िट में भी सुरक्षित किया जाता है, जो IAKerb को दूरस्थ प्रमाणीकरण वातावरण में एक उपयुक्त तंत्र बनाता है।
दूसरे, हमारे पास स्थानीय खातों का समर्थन करने के लिए केर्बरोस के लिए एक स्थानीय केडीसी है। यह DNS, नेटलॉगऑन, या DCLocator पर निर्भर हुए बिना दूरस्थ स्थानीय मशीनों के बीच संदेश भेजने के लिए IAKerb और स्थानीय मशीन के सुरक्षा खाता प्रबंधक (SAM) दोनों का लाभ उठाता है। दरअसल, इसमें संचार के लिए कोई नया पोर्ट खोलने की भी जरूरत नहीं है। यह ध्यान रखना महत्वपूर्ण है कि ट्रैफ़िक को उन्नत एन्क्रिप्शन स्टैंडर्ड (एईएस) ब्लॉक सिफर के माध्यम से एन्क्रिप्ट किया गया है।
इस एनटीएलएम बहिष्करण के अगले कुछ चरणों में, माइक्रोसॉफ्ट मौजूदा विंडोज घटकों को भी संशोधित करेगा जो एनटीएलएम का उपयोग करने के लिए हार्ड-कोडित हैं। इसके बजाय, वे नेगोशिएट प्रोटोकॉल का लाभ उठाएंगे ताकि वे IAKerb और Kerberos के लिए स्थानीय KDC से लाभ उठा सकें। मौजूदा अनुकूलता बनाए रखने के लिए एनटीएलएम को फ़ॉलबैक तंत्र के रूप में अभी भी समर्थित किया जाना जारी रहेगा। इस बीच, माइक्रोसॉफ्ट मौजूदा एनटीएलएम प्रबंधन नियंत्रणों को बढ़ा रहा है ताकि संगठनों को एनटीएलएम कहां और कैसे है, इस पर अधिक दृश्यता मिल सके उनके बुनियादी ढांचे के भीतर उपयोग किया जा रहा है, जिससे उन्हें किसी विशेष सेवा के लिए प्रोटोकॉल को अक्षम करने पर अधिक विस्तृत नियंत्रण भी मिल रहा है।
बेशक, अंतिम लक्ष्य अंततः विंडोज 11 में डिफ़ॉल्ट रूप से एनटीएलएम को अक्षम करना है, जब तक टेलीमेट्री डेटा इस अवसर का समर्थन करता है। अभी के लिए, माइक्रोसॉफ्ट ने संगठनों को एनटीएलएम, ऑडिट कोड जो हार्ड-कोड करता है, के उपयोग की निगरानी करने के लिए प्रोत्साहित किया है इस विरासत प्रोटोकॉल का उपयोग करें, और इस संबंध में रेडमंड टेक फर्म से आगे के अपडेट पर नज़र रखें विषय।