Microsoft ha espresso l'intenzione di eliminare gradualmente l'autenticazione NTLM in Windows 11 a favore di Kerberos con nuovi meccanismi di fallback in atto.
Punti chiave
- Microsoft sta eliminando gradualmente l'autenticazione utente NT LAN Manager (NTLM) a favore di Kerberos in Windows 11 per migliorare la sicurezza.
- L'azienda sta sviluppando nuovi meccanismi di fallback come IAKerb e un Key Distribution Center (KDC) locale per Kerberos per affrontare le limitazioni del protocollo.
- Microsoft sta migliorando i controlli di gestione NTLM e modificando i componenti Windows per utilizzare il protocollo Negotiate, con l'obiettivo di disabilitare eventualmente NTLM per impostazione predefinita in Windows 11.
La sicurezza è in prima linea per Microsoft quando si tratta di Windows, cosa prevista visto che il suo sistema operativo è utilizzato da oltre un miliardo di utenti. Più di un anno fa, la società ha annunciato di sì eliminare Server Message Block versione 1 (SMB1) in Windows 11 Home e oggi ha rivelato che sta cercando di eliminare gradualmente l'autenticazione utente NT LAN Manager (NTLM) a favore di Kerberos.
In un post dettagliato sul blog, Microsoft ha spiegato che Kerberos è stato il protocollo di autenticazione predefinito su Windows per oltre 20 anni, ma in alcuni scenari continua a fallire, il che impone quindi l'uso di NTLM. Per affrontare questi casi limite, l'azienda sta sviluppando nuovi meccanismi di fallback in Windows 11 come Autenticazione iniziale e pass-through utilizzando Kerberos (IAKerb) e un centro di distribuzione delle chiavi locale (KDC). Kerberos.
NTLM è ancora popolare perché presenta molteplici vantaggi come non richiedere una rete locale connessione a un Domain Controller (DC) e non è necessario conoscere l'identità della destinazione server. Nel tentativo di sfruttare vantaggi come questi, gli sviluppatori stanno optando per la comodità e stanno codificando NTLM in modo rigido in applicazioni e servizi senza nemmeno considerare protocolli più sicuri ed estensibili come Kerberos. Tuttavia, poiché Kerberos presenta alcune limitazioni per aumentare la sicurezza, non viene preso in considerazione applicazioni che hanno l'autenticazione NTLM codificata, molte organizzazioni non possono semplicemente disattivare l'eredità protocollo.
Per aggirare le limitazioni di Kerberos e renderlo un'opzione più allettante per sviluppatori e organizzazioni, Microsoft sta creando nuove funzionalità in Windows 11 che rendono il protocollo moderno un'opzione praticabile per applicazioni e Servizi.
Il primo miglioramento è IAKerb, un'estensione pubblica che consente l'autenticazione con un controller di dominio attraverso un server che ha accesso in linea d'aria alla suddetta infrastruttura. Sfrutta lo stack di autenticazione di Windows per eseguire il proxy delle richieste Keberos in modo che l'applicazione client non richieda visibilità sul controller di dominio. I messaggi sono crittografati e protetti anche durante il transito, il che rende IAKerb un meccanismo adatto negli ambienti di autenticazione remota.
In secondo luogo, abbiamo un KDC locale per Kerberos per supportare gli account locali. Ciò sfrutta sia IAKerb che il Security Account Manager (SAM) del computer locale per passare messaggi tra computer locali remoti senza dover dipendere da DNS, accesso rete o DCLocator. In effetti, non è nemmeno necessario aprire alcuna nuova porta per la comunicazione. È importante notare che il traffico viene crittografato tramite la crittografia a blocchi Advanced Encryption Standard (AES).
Nelle prossime fasi della deprecazione di NTLM, Microsoft modificherà anche i componenti Windows esistenti che sono codificati per utilizzare NTLM. Sfrutteranno invece il protocollo Negotiate in modo da poter beneficiare di IAKerb e del KDC locale per Kerberos. NTLM continuerà comunque a essere supportato come meccanismo di fallback per mantenere la compatibilità esistente. Nel frattempo, Microsoft sta migliorando i controlli di gestione NTLM esistenti per offrire alle organizzazioni maggiore visibilità su dove e come si trova NTLM utilizzati all'interno della loro infrastruttura, consentendo loro anche un controllo più granulare sulla disabilitazione del protocollo per un particolare servizio.
Naturalmente, l'obiettivo finale è disabilitare NTLM per impostazione predefinita in Windows 11, purché i dati di telemetria supportino questa opportunità. Per ora, Microsoft ha incoraggiato le organizzazioni a monitorare l'utilizzo di NTLM, controllando il codice che codifica in modo rigido utilizzo di questo protocollo legacy e tieni traccia di ulteriori aggiornamenti da parte dell'azienda tecnologica di Redmond in merito argomento.