מיקרוסופט הביעה את הכוונה לבטל בהדרגה את אימות ה-NTLM ב-Windows 11 לטובת Kerberos עם מנגנוני חזרה חדשים.
טייק אווי מפתח
- מיקרוסופט מוציאה בהדרגה את אימות המשתמשים ב-NT LAN Manager (NTLM) לטובת Kerberos ב-Windows 11 כדי לשפר את האבטחה.
- החברה מפתחת מנגנונים חדשים כמו IAKerb ומרכז הפצת מפתחות מקומי (KDC) עבור Kerberos כדי לטפל במגבלות בפרוטוקול.
- מיקרוסופט משפרת את בקרות הניהול של NTLM ומשנה את רכיבי Windows לשימוש בפרוטוקול Negotiate, במטרה להשבית בסופו של דבר את NTLM כברירת מחדל ב-Windows 11.
האבטחה נמצאת בחזית עבור מיקרוסופט בכל הנוגע ל-Windows, שצפויה לראות שמערכת ההפעלה שלה מנוצלת על ידי למעלה ממיליארד משתמשים. לפני יותר משנה הודיעה החברה שכן היפטרות מחסום הודעות שרת גרסה 1 (SMB1) ב-Windows 11 Home, והיום, היא חשפה שהיא מעוניינת לבטל בהדרגה את אימות המשתמשים של NT LAN Manager (NTLM) לטובת Kerberos.
ב פוסט מפורט בבלוג, מיקרוסופט הסבירה ש-Kerberos הוא פרוטוקול האימות המוגדר כברירת מחדל ב-Windows במשך למעלה מ-20 שנה, אך הוא עדיין נכשל בתרחישים מסוימים, מה שמחייב את השימוש ב-NTLM. על מנת להתמודד עם מקרי קצה אלו, החברה מפתחת מנגנוני חזרה חדשים ב-Windows 11 כגון אימות ראשוני ומעבר באמצעות Kerberos (IAKerb) ומרכז הפצת מפתחות מקומי (KDC) עבור קרברוס.
NTLM עדיין פופולרי מכיוון שהוא מציע יתרונות מרובים כמו אי צורך ברשת מקומית חיבור לבקר תחום (DC) ולא נדרש לדעת את זהות היעד שרת. במטרה למנף יתרונות כמו אלה, מפתחים בוחרים בנוחות ומקודדים NTLM. ביישומים ושירותים מבלי לשקול אפילו פרוטוקולים מאובטחים וניתנים להרחבה כמו Kerberos. עם זאת, מכיוון של-Kerberos יש מגבלות מסוימות להגביר את האבטחה, וזה לא נלקח בחשבון יישומים עם אימות NTLM בקוד קשיח, ארגונים רבים אינם יכולים פשוט לכבות את ה-Lecy נוהל.
על מנת לעקוף את המגבלות של Kerberos ולהפוך אותה לאופציה מפתה יותר עבור מפתחים וארגונים, מיקרוסופט בונה תכונות חדשות ב-Windows 11 שהופכות את הפרוטוקול המודרני לאפשרות ריאלית עבור יישומים ו שירותים.
השיפור הראשון הוא IAKerb, שהוא הרחבה ציבורית המאפשרת אימות עם DC דרך שרת שיש לו גישה לקו ראייה לתשתית הנ"ל. הוא ממנף את מחסנית האימות של Windows לבקשות Proxy Keberos כך שיישום הלקוח אינו דורש נראות ל-DC. הודעות מוצפנות ומאובטחות באופן קריפטוגרפי גם במעבר, מה שהופך את IAKerb למנגנון מתאים בסביבות אימות מרוחקות.
שנית, יש לנו KDC מקומי עבור Kerberos כדי לתמוך בחשבונות מקומיים. זה מנצל גם את IAKerb וגם את מנהל חשבון האבטחה (SAM) של המחשב המקומי כדי להעביר הודעות בין מכונות מקומיות מרוחקות ללא צורך להיות תלוי ב-DNS, netlogon או DCLocator. למעשה, זה גם לא מצריך פתיחת שום יציאה חדשה לתקשורת. חשוב לציין שהתעבורה מוצפנת באמצעות צופן הבלוק Advanced Encryption Standard (AES).
במהלך השלבים הבאים של הוצאה משימוש NTLM זה, מיקרוסופט תשנה גם רכיבי Windows קיימים המקודדים בצורה קשיחה לשימוש ב-NTLM. במקום זאת, הם ימנפו את פרוטוקול המשא ומתן כדי שיוכלו ליהנות מ-IAKerb ומה-KDC המקומי עבור Kerberos. NTLM עדיין ימשיך להיות נתמך כמנגנון חילופין לשמירה על תאימות קיימת. בינתיים, מיקרוסופט משפרת את בקרות הניהול הקיימות של NTLM כדי לתת לארגונים יותר נראות לגבי היכן ואיך נמצא NTLM בשימוש בתוך התשתית שלהם, מה שמאפשר להם גם שליטה מפורטת יותר על השבתת הפרוטוקול עבור שירות מסוים.
כמובן, המטרה הסופית היא בסופו של דבר להשבית את NTLM כברירת מחדל ב-Windows 11, כל עוד נתוני הטלמטריה תומכים בהזדמנות זו. לעת עתה, מיקרוסופט עודדה ארגונים לפקח על השימוש שלהם ב-NTLM, קוד ביקורת שמקודד קשה את שימוש בפרוטוקול מדור קודם זה, ולעקוב אחר עדכונים נוספים מחברת הטכנולוגיה רדמונד בנושא זה נוֹשֵׂא.