MicrosoftはWindowsからNTLM認証を排除したいと考えている

コンピューティングNov 22, 2023

Microsoft は、Windows 11 で NTLM 認証を段階的に廃止し、新しいフォールバック メカニズムを導入した Kerberos を採用する意向を表明しています。

重要なポイント

  • Microsoft は、セキュリティを向上させるために、Windows 11 では NT LAN Manager (NTLM) ユーザー認証を段階的に廃止し、Kerberos を使用します。
  • 同社は、プロトコルの制限に対処するために、IAKerb や Kerberos 用のローカル キー配布センター (KDC) などの新しいフォールバック メカニズムを開発しています。
  • Microsoft は、NTLM 管理制御を強化し、ネゴシエート プロトコルを使用するように Windows コンポーネントを変更しており、最終的には Windows 11 でデフォルトで NTLM を無効にすることを目標としています。

セキュリティは最前線にあります Windows に関しては、Microsoft がそのオペレーティング システムを 10 億人以上のユーザーに利用されていることが予想されます。 1 年以上前、同社は次のように発表しました。 サーバー メッセージ ブロック バージョン 1 (SMB1) を削除する Windows 11 Home では、NT LAN Manager (NTLM) ユーザー認証を段階的に廃止し、Kerberos を使用することを検討していることを本日明らかにしました。

詳細なブログ投稿, Microsoft は、Kerberos が 20 年以上にわたって Windows のデフォルトの認証プロトコルであったが、依然として一部のシナリオでは失敗するため、NTLM の使用が必須になると説明しています。 こうしたエッジケースに対処するために、同社は Windows 11 で次のような新しいフォールバック メカニズムを開発しています。 Kerberos (IAKerb) とローカルのキー配布センター (KDC) を使用した初期認証とパススルー認証 ケルベロス。

NTLM は、ローカル ネットワークを必要としないなど、複数の利点があるため、依然として人気があります。 ドメイン コントローラー (DC) への接続であり、ターゲットの ID を知る必要はありません。 サーバ。 このような利点を活用するために、開発者は利便性を選択し、NTLM をハードコーディングしています。 Kerberos のようなより安全で拡張可能なプロトコルを考慮することなく、アプリケーションやサービスで使用できます。 ただし、Kerberos にはセキュリティを強化するための特定の制限があり、これは考慮されていません。 NTLM 認証がハードコーディングされているアプリケーションでは、多くの組織が従来の認証を単純に無効にすることができません。 プロトコル。

Kerberos の制限を回避し、開発者や組織にとって Kerberos をより魅力的なオプションにするために、 Microsoft は、最新のプロトコルをアプリケーションやアプリケーションにとって実行可能なオプションにする新機能を Windows 11 に構築しています。 サービス。

最初の機能強化は、IAKerb です。これは、前述のインフラストラクチャへの見通し内アクセスを持つサーバーを介した DC による認証を可能にするパブリック拡張機能です。 Windows 認証スタックを利用して Keberos 要求をプロキシするため、クライアント アプリケーションは DC を認識する必要がありません。 メッセージは暗号化され、転送中であっても安全に保護されるため、IAKerb はリモート認証環境に適したメカニズムとなります。

次に、ローカル アカウントをサポートするための Kerberos 用のローカル KDC があります。 これは、IAKerb とローカル マシンのセキュリティ アカウント マネージャー (SAM) の両方を利用して、DNS、netlogon、または DCLocator に依存することなく、リモート ローカル マシン間でメッセージを渡します。 実際、通信のために新しいポートを開く必要もありません。 トラフィックは Advanced Encryption Standard (AES) ブロック暗号によって暗号化されることに注意することが重要です。

この NTLM 非推奨の今後数段階で、Microsoft は NTLM を使用するようにハードコードされた既存の Windows コンポーネントも変更する予定です。 代わりに、Negotiate プロトコルを利用して、IAKerb と Kerberos 用のローカル KDC の恩恵を受けることができます。 NTLM は、既存の互換性を維持するためのフォールバック メカニズムとして引き続きサポートされます。 それまでの間、Microsoft は既存の NTLM 管理制御を強化し、NTLM がどこでどのように行われているかを組織がより詳細に把握できるようにしています。 インフラストラクチャ内で使用されるため、特定のサービスのプロトコルの無効化をより詳細に制御できるようになります。

もちろん、最終的な目標は、テレメトリ データがこの機会をサポートしている限り、Windows 11 でデフォルトで NTLM を最終的に無効にすることです。 現時点では、Microsoft は組織に対し、NTLM の使用を監視し、ハードコード化するコードを監査することを奨励しています。 このレガシープロトコルの使用を確認し、これに関するレドモンドのテクノロジー企業からのさらなる最新情報を追跡してください。 トピック。