Microsoft ir paudusi nodomu pakāpeniski pārtraukt NTLM autentifikāciju operētājsistēmā Windows 11 par labu Kerberos, ieviešot jaunus rezerves mehānismus.
Key Takeaways
- Lai uzlabotu drošību, Microsoft pakāpeniski atceļ NT LAN pārvaldnieka (NTLM) lietotāju autentifikāciju par labu Kerberos operētājsistēmā Windows 11.
- Uzņēmums izstrādā jaunus rezerves mehānismus, piemēram, IAKerb un vietējo atslēgu izplatīšanas centru (KDC) Kerberos, lai novērstu protokola ierobežojumus.
- Microsoft uzlabo NTLM pārvaldības vadīklas un modificē Windows komponentus, lai izmantotu protokolu Negotiate, lai galu galā atspējotu NTLM pēc noklusējuma operētājsistēmā Windows 11.
Drošība ir priekšplānā Microsoft, kad runa ir par Windows, kas ir sagaidāms, redzot, ka tās operētājsistēmu izmanto vairāk nekā miljards lietotāju. Vairāk nekā pirms gada uzņēmums paziņoja, ka tā ir atbrīvošanās no servera ziņojumu bloka versijas 1 (SMB1) operētājsistēmā Windows 11 Home, un šodien tā ir atklājusi, ka tā vēlas pakāpeniski atcelt NT LAN pārvaldnieka (NTLM) lietotāju autentifikāciju par labu Kerberos.
Iekšā detalizēts emuāra ieraksts, Microsoft ir paskaidrojis, ka Kerberos ir bijis noklusējuma autentifikācijas protokols operētājsistēmā Windows vairāk nekā 20 gadus, taču dažos gadījumos tas joprojām neizdodas, un pēc tam tiek izmantots NTLM. Lai risinātu šos sarežģītos gadījumus, uzņēmums Windows 11 izstrādā jaunus rezerves mehānismus, piemēram, Sākotnējā un caurlaides autentifikācija, izmantojot Kerberos (IAKerb) un vietējo atslēgu izplatīšanas centru (KDC) Kerberos.
NTLM joprojām ir populārs, jo tam ir vairākas priekšrocības, piemēram, nav nepieciešams vietējais tīkls savienojums ar domēna kontrolleri (DC) un nav jāzina mērķa identitāte serveris. Cenšoties izmantot šādas priekšrocības, izstrādātāji izvēlas ērtības un stingri kodē NTLM lietojumprogrammās un pakalpojumos, pat neņemot vērā drošākus un paplašināmus protokolus, piemēram, Kerberos. Tomēr, tā kā Kerberos ir noteikti ierobežojumi, lai palielinātu drošību, un tas netiek ņemts vērā lietojumprogrammām, kurām ir cietā kodēta NTLM autentifikācija, daudzas organizācijas nevar vienkārši izslēgt mantojumu protokols.
Lai apietu Kerberos ierobežojumus un padarītu to par pievilcīgāku iespēju izstrādātājiem un organizācijām, Microsoft izstrādā jaunas funkcijas operētājsistēmā Windows 11, kas padara moderno protokolu par dzīvotspējīgu iespēju lietojumprogrammām un pakalpojumus.
Pirmais uzlabojums ir IAKerb, kas ir publisks paplašinājums, kas ļauj veikt autentifikāciju ar DC, izmantojot serveri, kuram ir redzama piekļuve iepriekšminētajai infrastruktūrai. Tas izmanto Windows autentifikācijas steku Keberos starpniekservera pieprasījumiem, lai klienta lietojumprogrammai nebūtu nepieciešama DC redzamība. Ziņojumi ir kriptogrāfiski šifrēti un aizsargāti pat sūtīšanas laikā, kas padara IAKerb par piemērotu mehānismu attālās autentifikācijas vidēs.
Otrkārt, mums ir vietējais Kerberos KDC, lai atbalstītu vietējos kontus. Tas izmanto gan IAKerb, gan vietējās mašīnas drošības konta pārvaldnieka (SAM) priekšrocības, lai nosūtītu ziņojumus starp attālām lokālajām iekārtām, neizmantojot DNS, tīkla pieteikšanos vai DCLocator. Faktiski tas arī neprasa atvērt jaunu portu saziņai. Ir svarīgi ņemt vērā, ka trafiks tiek šifrēts, izmantojot uzlabotā šifrēšanas standarta (AES) bloka šifru.
Dažos nākamajos šīs NTLM pārtraukšanas posmos Microsoft arī pārveidos esošos Windows komponentus, kas ir stingri kodēti, lai izmantotu NTLM. Tā vietā viņi izmantos sarunu protokolu, lai varētu gūt labumu no IAKerb un vietējā Kerberos KDC. NTLM joprojām tiks atbalstīts kā rezerves mehānisms, lai saglabātu esošo saderību. Tikmēr Microsoft uzlabo esošās NTLM pārvaldības vadīklas, lai sniegtu organizācijām labāku pārskatāmību par to, kur un kā atrodas NTLM. tiek izmantotas savā infrastruktūrā, ļaujot viņiem arī precīzāk kontrolēt konkrēta pakalpojuma protokola atspējošanu.
Protams, gala mērķis ir pēc noklusējuma atspējot NTLM operētājsistēmā Windows 11, ja vien telemetrijas dati atbalsta šo iespēju. Pagaidām Microsoft ir mudinājis organizācijas uzraudzīt NTLM — audita koda, kas stingri kodē, izmantošanu izmantot šo mantoto protokolu un sekot līdzi turpmākajiem Redmondas tehnoloģiju uzņēmuma atjauninājumiem saistībā ar to temats.