Microsoft ingin menghilangkan otentikasi NTLM dari Windows

KomputasiNov 22, 2023
click fraud protection

Microsoft telah menyatakan niatnya untuk menghentikan otentikasi NTLM di Windows 11 dan mendukung Kerberos dengan mekanisme fallback baru.

Poin Penting

  • Microsoft secara bertahap menghentikan autentikasi pengguna NT LAN Manager (NTLM) demi Kerberos di Windows 11 untuk meningkatkan keamanan.
  • Perusahaan sedang mengembangkan mekanisme fallback baru seperti IAKerb dan Key Distribution Center (KDC) lokal untuk Kerberos guna mengatasi keterbatasan dalam protokol.
  • Microsoft meningkatkan kontrol manajemen NTLM dan memodifikasi komponen Windows untuk menggunakan protokol Negosiasi, dengan tujuan untuk menonaktifkan NTLM secara default di Windows 11.

Keamanan adalah yang terdepan bagi Microsoft dalam hal Windows, yang diperkirakan sistem operasinya digunakan oleh lebih dari satu miliar pengguna. Lebih dari setahun yang lalu, perusahaan mengumumkan hal itu menghilangkan Blok Pesan Server versi 1 (SMB1) di Windows 11 Home, dan hari ini, terungkap bahwa mereka ingin menghentikan otentikasi pengguna NT LAN Manager (NTLM) secara bertahap demi Kerberos.

Di sebuah posting blog terperinci, Microsoft telah menjelaskan bahwa Kerberos telah menjadi protokol otentikasi default di Windows selama lebih dari 20 tahun, tetapi masih gagal dalam beberapa skenario, yang kemudian mengharuskan penggunaan NTLM. Untuk mengatasi kasus-kasus edge ini, perusahaan sedang mengembangkan mekanisme fallback baru di Windows 11 seperti Otentikasi Awal dan Lulus Menggunakan Kerberos (IAKerb) dan Pusat Distribusi Kunci lokal (KDC) untuk Kerbero.

NTLM masih populer karena memiliki banyak keunggulan seperti tidak memerlukan jaringan lokal koneksi ke Pengontrol Domain (DC) dan tidak diharuskan mengetahui identitas target server. Dalam upaya untuk memanfaatkan manfaat seperti ini, pengembang memilih kenyamanan dan melakukan hard-coding NTLM dalam aplikasi dan layanan tanpa mempertimbangkan protokol yang lebih aman dan dapat diperluas seperti Kerberos. Namun, karena Kerberos memiliki batasan tertentu untuk meningkatkan keamanan, maka hal tersebut tidak diperhitungkan aplikasi yang memiliki otentikasi NTLM yang dikodekan secara keras, banyak organisasi tidak dapat begitu saja mematikan warisannya protokol.

Untuk mengatasi keterbatasan Kerberos dan menjadikannya pilihan yang lebih menarik bagi pengembang dan organisasi, Microsoft sedang membangun fitur-fitur baru di Windows 11 yang menjadikan protokol modern sebagai pilihan yang layak untuk aplikasi dan jasa.

Peningkatan pertama adalah IAKerb, yang merupakan ekstensi publik yang memungkinkan otentikasi dengan DC melalui server yang memiliki akses saling berhadapan ke infrastruktur yang disebutkan di atas. Ini memanfaatkan tumpukan otentikasi Windows untuk mem-proxy permintaan Keberos sehingga aplikasi klien tidak memerlukan visibilitas ke DC. Pesan dienkripsi dan diamankan secara kriptografis bahkan saat transit, yang menjadikan IAKerb mekanisme yang cocok dalam lingkungan autentikasi jarak jauh.

Kedua, kami memiliki KDC lokal untuk Kerberos guna mendukung akun lokal. Hal ini memanfaatkan IAKerb dan Security Account Manager (SAM) mesin lokal untuk meneruskan pesan antar mesin lokal jarak jauh tanpa harus bergantung pada DNS, netlogon, atau DCLocator. Faktanya, tidak perlu membuka port baru untuk komunikasi. Penting untuk dicatat bahwa lalu lintas dienkripsi melalui cipher blok Advanced Encryption Standard (AES).

Selama beberapa fase berikutnya dari penghentian NTLM ini, Microsoft juga akan memodifikasi komponen Windows yang sudah ada yang dikodekan untuk menggunakan NTLM. Sebaliknya, mereka akan memanfaatkan protokol Negosiasi sehingga mereka bisa mendapatkan manfaat dari IAKerb dan KDC lokal untuk Kerberos. NTLM akan terus didukung sebagai mekanisme cadangan untuk menjaga kompatibilitas yang ada. Sementara itu, Microsoft meningkatkan kontrol manajemen NTLM yang ada untuk memberikan visibilitas lebih besar kepada organisasi mengenai di mana dan bagaimana NTLM berada digunakan dalam infrastruktur mereka, juga memungkinkan mereka memiliki kontrol yang lebih terperinci atas penonaktifan protokol untuk layanan tertentu.

Tentu saja, tujuan akhirnya adalah menonaktifkan NTLM secara default di Windows 11, selama data telemetri mendukung peluang ini. Untuk saat ini, Microsoft telah mendorong organisasi untuk memantau penggunaan NTLM, mengaudit kode yang melakukan hard-code penggunaan protokol lama ini, dan pantau terus pembaruan lebih lanjut dari perusahaan teknologi Redmond mengenai hal ini tema.