Microsoft-ს სურს Windows-დან NTLM ავთენტიფიკაციის აღმოფხვრა

Microsoft-მა გამოთქვა განზრახვა ეტაპობრივად გააუქმოს NTLM ავტორიზაცია Windows 11-ში Kerberos-ის სასარგებლოდ ახალი სარეზერვო მექანიზმებით.

გასაღები Takeaways

  • Microsoft ეტაპობრივად აუქმებს NT LAN მენეჯერის (NTLM) მომხმარებლის ავტორიზაციას Kerberos-ის სასარგებლოდ Windows 11-ში უსაფრთხოების გასაუმჯობესებლად.
  • კომპანია ავითარებს ახალ სარეზერვო მექანიზმებს, როგორიცაა IAKerb და ადგილობრივი გასაღების სადისტრიბუციო ცენტრი (KDC) Kerberos-ისთვის პროტოკოლში არსებული შეზღუდვების მოსაგვარებლად.
  • Microsoft აძლიერებს NTLM მენეჯმენტის კონტროლს და ცვლის Windows კომპონენტებს, რათა გამოიყენოს Negotiate პროტოკოლი, რათა საბოლოოდ გამორთოს NTLM ნაგულისხმევად Windows 11-ში.

უსაფრთხოება წინა პლანზეა Microsoft-ისთვის, როდესაც საქმე Windows-ს ეხება, რომელიც მოსალოდნელია იმის გათვალისწინებით, რომ მის ოპერაციულ სისტემას მილიარდზე მეტი მომხმარებელი იყენებს. ერთი წლის წინ კომპანიამ გამოაცხადა, რომ ეს ასეა სერვერის შეტყობინებების ბლოკის 1-ლი ვერსიის მოშორება (SMB1) Windows 11 Home-ში და დღეს, მან გამოავლინა, რომ ის ცდილობს ეტაპობრივად გააუქმოს NT LAN მენეჯერის (NTLM) მომხმარებლის ავტორიზაცია Kerberos-ის სასარგებლოდ.

Ში დეტალური ბლოგის პოსტიMicrosoft-მა განმარტა, რომ Kerberos იყო Windows-ზე ავთენტიფიკაციის ნაგულისხმევი პროტოკოლი 20 წელზე მეტი ხნის განმავლობაში, მაგრამ ის მაინც ვერ ხერხდება ზოგიერთ სცენარში, რაც შემდეგ ავალდებულებს NTLM-ის გამოყენებას. ამ ზღვრული შემთხვევების მოსაგვარებლად, ფირმა ავითარებს ახალ სარეზერვო მექანიზმებს Windows 11-ში, როგორიცაა საწყისი და ავთენტიფიკაციის გავლა Kerberos (IAKerb) და ადგილობრივი გასაღების სადისტრიბუციო ცენტრის (KDC) გამოყენებით კერბეროსი.

NTLM კვლავ პოპულარულია, რადგან მას აქვს მრავალი უპირატესობა, როგორიცაა ლოკალური ქსელის არ საჭიროება კავშირი დომენის კონტროლერთან (DC) და არ არის საჭირო სამიზნის ვინაობის ცოდნა სერვერი. მსგავსი უპირატესობების გამოყენების მიზნით, დეველოპერები ირჩევენ კომფორტს და ახდენენ მყარი კოდირების NTLM-ს აპლიკაციებსა და სერვისებში უფრო უსაფრთხო და გაფართოებადი პროტოკოლების განხილვის გარეშე, როგორიცაა Kerberos. თუმცა, ვინაიდან კერბეროსს აქვს გარკვეული შეზღუდვები უსაფრთხოების გაზრდის მიზნით და ის არ არის გათვალისწინებული აპლიკაციები, რომლებსაც აქვთ NTLM ავთენტიფიკაცია მყარი კოდირებული, ბევრ ორგანიზაციას არ შეუძლია უბრალოდ გამორთოს მემკვიდრეობა ოქმი.

იმისთვის, რომ გადალახოთ Kerberos-ის შეზღუდვები და გახადოთ ის უფრო მიმზიდველი ვარიანტი დეველოპერებისთვის და ორგანიზაციებისთვის, Microsoft აშენებს ახალ ფუნქციებს Windows 11-ში, რაც თანამედროვე პროტოკოლს აპლიკაციების და მომსახურება.

პირველი გაფართოება არის IAKerb, რომელიც არის საჯარო გაფართოება, რომელიც საშუალებას იძლევა ავთენტიფიკაცია DC-ით სერვერის მეშვეობით, რომელსაც აქვს მხედველობის წვდომა ზემოხსენებულ ინფრასტრუქტურაზე. ის იყენებს Windows ავთენტიფიკაციის დასტას პროქსი Keberos-ის მოთხოვნებს ისე, რომ კლიენტის აპლიკაცია არ საჭიროებს ხილვადობას DC-სთვის. შეტყობინებები კრიპტოგრაფიულად დაშიფრულია და დაცულია ტრანზიტის დროსაც კი, რაც IAKerb-ს შესაფერის მექანიზმად აქცევს დისტანციური ავთენტიფიკაციის გარემოში.

მეორეც, ჩვენ გვაქვს ადგილობრივი KDC Kerberos-ისთვის ადგილობრივი ანგარიშების მხარდასაჭერად. ეს იყენებს როგორც IAKerb-ს, ასევე ადგილობრივი აპარატის უსაფრთხოების ანგარიშის მენეჯერს (SAM), რათა გადასცეს შეტყობინებები დისტანციურ ადგილობრივ მანქანებს შორის DNS-ზე, netlogon-ზე ან DCLocator-ზე დამოკიდებულების გარეშე. ფაქტობრივად, მას არც ახალი პორტის გახსნა სჭირდება კომუნიკაციისთვის. მნიშვნელოვანია აღინიშნოს, რომ ტრაფიკი დაშიფრულია Advanced Encryption Standard (AES) ბლოკის შიფრის მეშვეობით.

ამ NTLM-ის გაუქმების მომდევნო რამდენიმე ფაზის განმავლობაში, Microsoft ასევე შეცვლის Windows-ის არსებულ კომპონენტებს, რომლებიც მყარი კოდირებულია NTLM-ის გამოსაყენებლად. ამის ნაცვლად, ისინი გამოიყენებენ მოლაპარაკებების პროტოკოლს, რათა მათ ისარგებლონ IAKerb-ით და ადგილობრივი KDC-ით Kerberos-ისთვის. NTLM კვლავაც იქნება მხარდაჭერილი, როგორც დამხმარე მექანიზმი არსებული თავსებადობის შესანარჩუნებლად. იმავდროულად, Microsoft აძლიერებს არსებულ NTLM მართვის კონტროლს, რათა ორგანიზაციებს მეტი ხილვადობა მისცეს იმის შესახებ, თუ სად და როგორ არის NTLM. გამოიყენება მათი ინფრასტრუქტურაში, რაც მათ საშუალებას აძლევს უფრო გრანდიოზული კონტროლის ქვეშ აკონტროლონ კონკრეტული სერვისის პროტოკოლის გამორთვა.

რა თქმა უნდა, საბოლოო მიზანია საბოლოოდ გამორთოთ NTLM ნაგულისხმევად Windows 11-ში, სანამ ტელემეტრიის მონაცემები მხარს უჭერს ამ შესაძლებლობას. ამ დროისთვის, Microsoft-მა მოუწოდა ორგანიზაციებს, მონიტორინგი გაუწიონ მათ გამოყენებას NTLM, აუდიტის კოდი, რომელიც ხისტი კოდირებს გამოიყენეთ ამ მემკვიდრეობითი პროტოკოლი და თვალყური ადევნეთ რედმონდის ტექნიკური ფირმის შემდგომ განახლებებს ამასთან დაკავშირებით თემა.