A Microsoft kifejezte azon szándékát, hogy fokozatosan megszünteti az NTLM hitelesítést a Windows 11 rendszerben a Kerberos javára, új tartalék mechanizmusokkal.
Kulcs elvitelek
- A Microsoft a biztonság javítása érdekében fokozatosan megszünteti az NT LAN Manager (NTLM) felhasználói hitelesítést a Kerberos javára a Windows 11 rendszerben.
- A vállalat új tartalék mechanizmusokat fejleszt, mint például az IAKerb és a helyi kulcselosztó központ (KDC) a Kerberos számára, hogy kiküszöbölje a protokoll korlátait.
- A Microsoft továbbfejleszti az NTLM felügyeleti vezérlőit, és módosítja a Windows összetevőit, hogy a Negotiate protokollt használják, azzal a céllal, hogy végül az NTLM alapértelmezett letiltását a Windows 11 rendszerben.
A biztonság az élen a Microsoft számára, ha Windowsról van szó, amely várhatóan több mint egymilliárd felhasználó használja az operációs rendszerét. Több mint egy éve a cég bejelentette, hogy igen megszabadulni a Server Message Block 1-es verziójától (SMB1) a Windows 11 Home rendszerben, és ma felfedte, hogy fokozatosan megszünteti az NT LAN Manager (NTLM) felhasználói hitelesítést a Kerberos javára.
Az a részletes blogbejegyzés, a Microsoft kifejtette, hogy a Kerberos a Windows alapértelmezett hitelesítési protokollja több mint 20 éve, de bizonyos esetekben még mindig meghiúsul, ami ezután az NTLM használatát írja elő. Ezen szélsőséges esetek kezelése érdekében a cég új tartalék mechanizmusokat fejleszt a Windows 11-ben, mint pl Kezdeti és átmenő hitelesítés Kerberos (IAKerb) és helyi kulcselosztó központ (KDC) használatával Kerberos.
Az NTLM továbbra is népszerű, mert számos előnnyel rendelkezik, például nem igényel helyi hálózatot tartományvezérlőhöz (DC) való kapcsolat, és nem szükséges ismerni a célpont azonosságát szerver. Az ehhez hasonló előnyök kihasználása érdekében a fejlesztők a kényelem mellett döntenek, és keményen kódolják az NTLM-et. alkalmazásokban és szolgáltatásokban anélkül, hogy figyelembe vennénk a biztonságosabb és bővíthetőbb protokollokat, mint például a Kerberos. Mivel azonban a Kerberosnak vannak bizonyos korlátai a biztonság növelése érdekében, és ezt nem veszik figyelembe Az NTLM-hitelesítést keményen kódolt alkalmazások esetén sok szervezet nem tudja egyszerűen kikapcsolni az örökséget jegyzőkönyv.
Annak érdekében, hogy megkerüljük a Kerberos korlátait, és vonzóbb legyen a fejlesztők és szervezetek számára, A Microsoft új funkciókat épít a Windows 11-be, amelyek a modern protokollt életképes lehetőséggé teszik az alkalmazások és szolgáltatások.
Az első fejlesztés az IAKerb, amely egy nyilvános bővítmény, amely lehetővé teszi a DC-vel történő hitelesítést egy olyan szerveren keresztül, amely közvetlen hozzáféréssel rendelkezik a fent említett infrastruktúrához. Kihasználja a Windows hitelesítési veremét a Keberos proxy kérésekhez, így az ügyfélalkalmazásnak nem kell látnia a DC-t. Az üzenetek kriptográfiailag titkosítottak és még továbbításuk során is biztonságosak, így az IAKerb megfelelő mechanizmus a távoli hitelesítési környezetekben.
Másodszor, van egy helyi KDC-nk a Kerberos számára a helyi fiókok támogatására. Ez mind az IAKerb, mind a helyi gép Security Account Manager (SAM) előnyeit kihasználja az üzenetek távoli helyi gépek közötti továbbítására anélkül, hogy a DNS-től, a netlogontól vagy a DCLocatortól függne. Valójában nem szükséges új portot nyitni a kommunikációhoz. Fontos megjegyezni, hogy a forgalmat az Advanced Encryption Standard (AES) blokk titkosítása titkosítja.
Az NTLM megszüntetésének következő néhány szakaszában a Microsoft módosítani fogja a meglévő Windows-összetevőket is, amelyek az NTLM használatára vannak kódolva. Ehelyett a Negotiate protokollt fogják használni, hogy profitálhassanak az IAKerbből és a Kerberos helyi KDC-jéből. Az NTLM továbbra is támogatott marad tartalék mechanizmusként a meglévő kompatibilitás fenntartása érdekében. Eközben a Microsoft továbbfejleszti a meglévő NTLM-felügyeleti vezérlőket, hogy a szervezetek jobban átláthassák, hol és hogyan van az NTLM. infrastruktúrájukon belül használják, lehetővé téve számukra az adott szolgáltatás protokolljának letiltásának részletesebb szabályozását.
Természetesen a végső cél az NTLM alapértelmezés szerinti letiltása a Windows 11 rendszerben, amennyiben a telemetriai adatok támogatják ezt a lehetőséget. A Microsoft egyelőre arra biztatta a szervezeteket, hogy figyeljék az NTLM, az ellenőrzési kód használatát, amely keményen kódolja a rendszert használja ezt az örökölt protokollt, és kövesse nyomon a redmondi technológiai cég ezzel kapcsolatos további frissítéseit téma.