Microsoft je izrazio namjeru postupnog ukidanja NTLM autentifikacije u sustavu Windows 11 u korist Kerberosa s novim rezervnim mehanizmima.
Ključni zahvati
- Microsoft postupno ukida autentifikaciju korisnika NT LAN Managera (NTLM) u korist Kerberosa u sustavu Windows 11 radi poboljšanja sigurnosti.
- Tvrtka razvija nove zamjenske mehanizme poput IAKerba i lokalnog centra za distribuciju ključeva (KDC) za Kerberos kako bi riješila ograničenja u protokolu.
- Microsoft unapređuje kontrole upravljanja NTLM-om i modificira komponente sustava Windows za korištenje protokola Negotiate, s ciljem konačnog onemogućavanja NTLM-a prema zadanim postavkama u sustavu Windows 11.
Sigurnost je u prvom planu za Microsoft kada je u pitanju Windows, što je očekivano s obzirom da njegov operativni sustav koristi preko milijardu korisnika. Prije više od godinu dana tvrtka je objavila da jest rješavanje bloka poruka poslužitelja verzija 1 (SMB1) u Windows 11 Home, a danas je otkrio da želi postupno ukinuti autentifikaciju korisnika NT LAN Managera (NTLM) u korist Kerberosa.
U detaljan post na blogu, Microsoft je objasnio da je Kerberos zadani protokol za provjeru autentičnosti u sustavu Windows više od 20 godina, ali još uvijek ne uspijeva u nekim scenarijima, što onda zahtijeva upotrebu NTLM-a. Kako bi se uhvatila u koštac s ovim rubnim slučajevima, tvrtka razvija nove zamjenske mehanizme u sustavu Windows 11 kao što su Inicijalna i prolazna provjera autentičnosti pomoću Kerberosa (IAKerb) i lokalnog centra za distribuciju ključeva (KDC) za Kerberos.
NTLM je još uvijek popularan jer ima brojne prednosti kao što je nepotrebna lokalna mreža povezivanje s kontrolerom domene (DC) i nije potrebno znati identitet cilja poslužitelj. U pokušaju da iskoriste prednosti poput ovih, programeri se odlučuju za praktičnost i tvrdo kodiraju NTLM u aplikacijama i uslugama čak i bez razmatranja sigurnijih i proširivih protokola kao što je Kerberos. Međutim, budući da Kerberos ima određena ograničenja za povećanje sigurnosti, to nije uračunato u aplikacije koje imaju tvrdo kodiranu NTLM provjeru autentičnosti, mnoge organizacije ne mogu jednostavno isključiti naslijeđe protokol.
Kako bismo zaobišli ograničenja Kerberosa i učinili ga primamljivijom opcijom za programere i organizacije, Microsoft gradi nove značajke u sustavu Windows 11 koje moderni protokol čine održivom opcijom za aplikacije i usluge.
Prvo poboljšanje je IAKerb, što je javno proširenje koje omogućuje autentifikaciju s DC-om putem poslužitelja koji ima pristup izravnoj vidljivosti gore spomenutoj infrastrukturi. Iskorištava skup za provjeru autentičnosti sustava Windows za proxy Keberos zahtjeve tako da klijentska aplikacija ne zahtijeva vidljivost DC-a. Poruke su kriptografski šifrirane i osigurane čak iu tranzitu, što IAKerb čini prikladnim mehanizmom u okruženjima za udaljenu provjeru autentičnosti.
Drugo, imamo lokalni KDC za Kerberos za podršku lokalnim računima. Ovo iskorištava prednosti IAKerba i upravitelja sigurnosnih računa lokalnog računala (SAM) za prosljeđivanje poruka između udaljenih lokalnih računala bez ovisnosti o DNS-u, netlogonu ili DCLocatoru. Zapravo, niti ne zahtijeva otvaranje novog porta za komunikaciju. Važno je napomenuti da je promet šifriran putem blok šifre Advanced Encryption Standard (AES).
Tijekom sljedećih nekoliko faza ove obustave NTLM-a, Microsoft će također modificirati postojeće Windows komponente koje su tvrdo kodirane za korištenje NTLM-a. Umjesto toga, oni će iskoristiti protokol Negotiate kako bi mogli imati koristi od IAKerba i lokalnog KDC-a za Kerberos. NTLM će i dalje biti podržan kao rezervni mehanizam za održavanje postojeće kompatibilnosti. U međuvremenu, Microsoft unapređuje postojeće kontrole upravljanja NTLM-om kako bi organizacijama dao veću vidljivost gdje i kako je NTLM koji se koriste unutar njihove infrastrukture, što im također omogućuje detaljniju kontrolu nad onemogućavanjem protokola za određenu uslugu.
Naravno, krajnji je cilj u konačnici onemogućiti NTLM prema zadanim postavkama u sustavu Windows 11, sve dok telemetrijski podaci podržavaju ovu mogućnost. Za sada je Microsoft poticao organizacije da prate svoju upotrebu NTLM-a, revizijskog koda koji tvrdo kodira korištenje ovog naslijeđenog protokola i pratite daljnja ažuriranja tehnološke tvrtke iz Redmonda u vezi s tim tema.