„Microsoft“ išreiškė ketinimą laipsniškai panaikinti NTLM autentifikavimą sistemoje „Windows 11“, o ne „Kerberos“ su naujais atsarginiais mechanizmais.
Key Takeaways
- „Microsoft“ laipsniškai atsisako NT LAN tvarkyklės (NTLM) naudotojo autentifikavimo ir naudoja „Kerberos“ sistemoje „Windows 11“, kad pagerintų saugumą.
- Bendrovė kuria naujus atsarginius mechanizmus, pvz., „IAKerb“ ir vietinį „Kerberos“ raktų paskirstymo centrą (KDC), kad pašalintų protokolo apribojimus.
- „Microsoft“ tobulina NTLM valdymo valdiklius ir modifikuoja „Windows“ komponentus, kad naudotų derybų protokolą, siekdama galiausiai išjungti NTLM pagal numatytuosius nustatymus sistemoje „Windows 11“.
Saugumas yra priešakyje „Microsoft“, kai kalbama apie „Windows“, nes tikimasi, kad jos operacine sistema naudojasi daugiau nei milijardas vartotojų. Daugiau nei prieš metus bendrovė paskelbė, kad taip Atsikratyti serverio pranešimų bloko 1 versijos (SMB1) „Windows 11 Home“ ir šiandien ji atskleidė, kad ketina palaipsniui panaikinti „NT LAN Manager“ (NTLM) naudotojo autentifikavimą ir naudoti „Kerberos“.
A išsamus tinklaraščio įrašas, „Microsoft“ paaiškino, kad „Kerberos“ buvo numatytasis „Windows“ autentifikavimo protokolas daugiau nei 20 metų, tačiau kai kuriais atvejais jis vis tiek nepavyksta, o tai įpareigoja naudoti NTLM. Siekdama išspręsti šiuos kraštutinius atvejus, įmonė kuria naujus atsarginius „Windows 11“ mechanizmus, tokius kaip Pradinis ir perduodamas autentifikavimas naudojant Kerberos (IAKerb) ir vietinį raktų paskirstymo centrą (KDC) Kerberos.
NTLM vis dar populiarus, nes turi daug privalumų, pavyzdžiui, nereikalauja vietinio tinklo prisijungti prie domeno valdiklio (DC) ir nebūtina žinoti tikslo tapatybės serveris. Siekdami pasinaudoti tokiais pranašumais, kaip šie, kūrėjai renkasi patogumą ir sunkiai koduoja NTLM programose ir paslaugose net negalvojant apie saugesnius ir išplečiamus protokolus, tokius kaip Kerberos. Tačiau kadangi „Kerberos“ turi tam tikrų apribojimų, kad padidintų saugumą, ir į tai neatsižvelgiama programoms, kuriose NTLM autentifikavimas yra užkoduotas, daugelis organizacijų negali tiesiog išjungti palikimo protokolas.
Siekdami apeiti Kerberos apribojimus ir padaryti ją patrauklesne kūrėjams ir organizacijoms, „Microsoft“ kuria naujas „Windows 11“ funkcijas, dėl kurių modernus protokolas yra tinkamas pasirinkimas programoms ir paslaugos.
Pirmasis patobulinimas yra IAKerb, kuris yra viešas plėtinys, leidžiantis autentifikuoti DC per serverį, turintį tiesioginę prieigą prie pirmiau minėtos infrastruktūros. Jis panaudoja „Windows“ autentifikavimo steką tarpinio serverio „Keberos“ užklausoms, kad kliento programai nereikėtų matyti DC. Pranešimai yra kriptografiškai užšifruoti ir apsaugoti net gabenant, todėl IAKerb yra tinkamas mechanizmas nuotolinėse autentifikavimo aplinkose.
Antra, turime vietinį „Kerberos“ KDC, kuris palaiko vietines paskyras. Tai naudoja tiek IAKerb, tiek vietinio įrenginio saugos abonemento tvarkyklę (SAM), kad pranešimai būtų perduodami tarp nuotolinių vietinių kompiuterių, nepriklausant nuo DNS, „netlogon“ ar „DClocator“. Tiesą sakant, tam nereikia atidaryti jokio naujo ryšio prievado. Svarbu pažymėti, kad srautas šifruojamas naudojant išplėstinio šifravimo standarto (AES) bloko šifrą.
Per kitus kelis šio NTLM naudojimo nutraukimo etapus „Microsoft“ taip pat pakeis esamus „Windows“ komponentus, kurie yra užkoduoti naudoti NTLM. Vietoj to jie naudos derybų protokolą, kad galėtų pasinaudoti IAKerb ir vietiniu Kerberos KDC. NTLM ir toliau bus palaikomas kaip atsarginis mechanizmas esamam suderinamumui palaikyti. Tuo tarpu „Microsoft“ tobulina esamas NTLM valdymo priemones, kad organizacijos galėtų geriau matyti, kur ir kaip yra NTLM. naudojami savo infrastruktūroje, taip pat leidžiant jiems detaliau valdyti tam tikros paslaugos protokolo išjungimą.
Žinoma, galutinis tikslas yra pagal numatytuosius nustatymus išjungti NTLM sistemoje „Windows 11“, jei telemetrijos duomenys palaiko šią galimybę. Šiuo metu „Microsoft“ skatina organizacijas stebėti, kaip naudoja NTLM – audito kodą, kuris sunkiai koduoja naudoti šį seną protokolą ir sekti tolesnius Redmondo technologijų įmonės atnaujinimus šiuo klausimu tema.