Microsoft는 Windows에서 NTLM 인증을 제거하려고 합니다.

컴퓨팅Nov 22, 2023

Microsoft는 새로운 폴백 메커니즘을 갖춘 Kerberos를 선호하여 Windows 11에서 NTLM 인증을 단계적으로 폐지하겠다는 의사를 표명했습니다.

주요 시사점

  • Microsoft는 보안을 강화하기 위해 Windows 11에서 Kerberos를 대신하여 NTLM(NT LAN Manager) 사용자 인증을 단계적으로 폐지하고 있습니다.
  • 회사는 프로토콜의 제한 사항을 해결하기 위해 IAKerb 및 Kerberos용 로컬 KDC(키 배포 센터)와 같은 새로운 폴백 메커니즘을 개발하고 있습니다.
  • Microsoft는 Windows 11에서 기본적으로 NTLM을 비활성화하는 것을 목표로 NTLM 관리 제어를 강화하고 협상 프로토콜을 사용하도록 Windows 구성 요소를 수정하고 있습니다.

보안이 최우선입니다 Windows의 경우 Microsoft의 운영 체제를 10억 ​​명 이상의 사용자가 사용할 것으로 예상됩니다. 1년여 전, 회사에서는 다음과 같이 발표했습니다. 서버 메시지 블록 버전 1(SMB1) 제거 Windows 11 Home에서는 NTLM(NT LAN Manager) 사용자 인증을 단계적으로 폐지하고 Kerberos를 선호한다고 밝혔습니다.

안에 자세한 블로그 게시물, Microsoft는 Kerberos가 20년 넘게 Windows의 기본 인증 프로토콜이었지만 일부 시나리오에서는 여전히 실패하므로 NTLM을 사용해야 한다고 설명했습니다. 이러한 극단적인 경우를 해결하기 위해 회사는 Windows 11에서 다음과 같은 새로운 대체 메커니즘을 개발하고 있습니다. Kerberos(IAKerb)와 로컬 KDC(키 배포 센터)를 사용한 초기 및 통과 인증 케르베로스.

NTLM은 로컬 네트워크가 필요하지 않은 등 여러 가지 장점을 갖고 있기 때문에 여전히 인기가 있습니다. DC(도메인 컨트롤러)에 연결하고 대상의 신원을 알 필요가 없습니다. 섬기는 사람. 이러한 이점을 활용하기 위해 개발자는 편의성을 선택하고 NTLM을 하드 코딩하고 있습니다. Kerberos와 같은 보다 안전하고 확장 가능한 프로토콜을 고려하지 않고도 애플리케이션과 서비스에 적용할 수 있습니다. 그러나 Kerberos에는 보안을 강화하기 위한 특정 제한 사항이 있으므로 이를 고려하지 않았습니다. NTLM 인증이 하드 코딩된 애플리케이션이 있는 경우 많은 조직에서는 단순히 레거시 인증을 끌 수 없습니다. 규약.

Kerberos의 한계를 해결하고 이를 개발자와 조직에게 더욱 매력적인 옵션으로 만들기 위해, Microsoft는 Windows 11에서 최신 프로토콜을 응용 프로그램 및 응용 프로그램에 대한 실행 가능한 옵션으로 만드는 새로운 기능을 구축하고 있습니다. 서비스.

첫 번째 개선 사항은 앞서 언급한 인프라에 대한 가시선 액세스 권한이 있는 서버를 통해 DC 인증을 허용하는 공개 확장인 IAKerb입니다. 클라이언트 애플리케이션이 DC에 대한 가시성을 요구하지 않도록 Windows 인증 스택을 활용하여 Keberos 요청을 프록시합니다. 메시지는 전송 중에도 암호화되어 보호되므로 IAKerb는 원격 인증 환경에 적합한 메커니즘입니다.

둘째, 로컬 계정을 지원하기 위한 Kerberos용 로컬 KDC가 있습니다. 이는 IAKerb와 로컬 시스템의 보안 계정 관리자(SAM)를 모두 활용하여 DNS, netlogon 또는 DCLocator에 의존하지 않고도 원격 로컬 시스템 간에 메시지를 전달합니다. 실제로 통신을 위해 새 포트를 열 필요도 없습니다. 트래픽은 AES(Advanced Encryption Standard) 블록 암호를 통해 암호화된다는 점에 유의하는 것이 중요합니다.

이 NTLM 사용 중단의 다음 몇 단계에 걸쳐 Microsoft는 NTLM을 사용하도록 하드 코딩된 기존 Windows 구성 요소도 수정할 예정입니다. 대신 IAKerb와 Kerberos용 로컬 KDC의 이점을 누릴 수 있도록 Negotiate 프로토콜을 활용하게 됩니다. NTLM은 기존 호환성을 유지하기 위한 대체 메커니즘으로 계속 지원됩니다. 그 동안 Microsoft는 기존 NTLM 관리 제어 기능을 강화하여 NTLM이 어디에 어떻게 존재하는지 조직에 더 많은 가시성을 제공하고 있습니다. 인프라 내에서 사용되며 특정 서비스에 대한 프로토콜 비활성화를 보다 세부적으로 제어할 수도 있습니다.

물론 최종 목표는 원격 측정 데이터가 이 기회를 지원하는 한 Windows 11에서 기본적으로 NTLM을 궁극적으로 비활성화하는 것입니다. 현재 Microsoft는 조직에서 하드 코딩된 감사 코드인 NTLM 사용을 모니터링하도록 권장하고 있습니다. 이 레거시 프로토콜을 사용하고 이에 관한 Redmond 기술 회사의 추가 업데이트를 추적합니다. 주제.