Microsoft heeft de intentie uitgesproken om NTLM-authenticatie in Windows 11 geleidelijk af te schaffen ten gunste van Kerberos, met nieuwe fallback-mechanismen.
Belangrijkste leerpunten
- Microsoft is bezig met het afbouwen van NT LAN Manager (NTLM)-gebruikersauthenticatie ten gunste van Kerberos in Windows 11 om de beveiliging te verbeteren.
- Het bedrijf ontwikkelt nieuwe fallback-mechanismen zoals IAKerb en een lokaal Key Distribution Center (KDC) voor Kerberos om de beperkingen in het protocol aan te pakken.
- Microsoft verbetert de NTLM-beheercontroles en past Windows-componenten aan om het Negotiate-protocol te gebruiken, met als doel NTLM uiteindelijk standaard uit te schakelen in Windows 11.
Veiligheid staat voorop voor Microsoft als het om Windows gaat, wat naar verwachting wordt gezien het feit dat het besturingssysteem door meer dan een miljard gebruikers wordt gebruikt. Ruim een jaar geleden maakte het bedrijf bekend dat dit het geval is het wegwerken van Server Message Block versie 1 (SMB1)
In een gedetailleerde blogpostMicrosoft heeft uitgelegd dat Kerberos al meer dan twintig jaar het standaard authenticatieprotocol op Windows is, maar dat het in sommige scenario's nog steeds faalt, waardoor het gebruik van NTLM verplicht wordt gesteld. Om deze randgevallen aan te pakken, ontwikkelt het bedrijf nieuwe fallback-mechanismen in Windows 11, zoals Initiële en pass-through-authenticatie met behulp van Kerberos (IAKerb) en een lokaal Key Distribution Center (KDC) voor Kerberos.
NTLM is nog steeds populair omdat het meerdere voordelen biedt, zoals het niet nodig hebben van een lokaal netwerk verbinding met een domeincontroller (DC) en hoeft de identiteit van het doel niet te kennen server. In een poging dit soort voordelen te benutten, kiezen ontwikkelaars voor gemak en coderen ze NTLM hard in toepassingen en diensten zonder zelfs maar te denken aan veiligere en uitbreidbare protocollen zoals Kerberos. Omdat Kerberos echter bepaalde beperkingen heeft om de veiligheid te vergroten, wordt hier geen rekening mee gehouden Bij toepassingen met hardgecodeerde NTLM-authenticatie kunnen veel organisaties de verouderde versie niet zomaar uitschakelen protocol.
Om de beperkingen van Kerberos te omzeilen en het een aantrekkelijker optie te maken voor ontwikkelaars en organisaties, Microsoft bouwt nieuwe functies in Windows 11 die het moderne protocol tot een haalbare optie maken voor toepassingen en Diensten.
De eerste verbetering is IAKerb, een openbare extensie die authenticatie met een DC mogelijk maakt via een server die directe toegang heeft tot de bovengenoemde infrastructuur. Het maakt gebruik van de Windows-authenticatiestack om Keberos-verzoeken te proxyen, zodat de clienttoepassing geen zichtbaarheid voor de DC vereist. Berichten worden cryptografisch gecodeerd en beveiligd, zelfs tijdens de verzending, waardoor IAKerb een geschikt mechanisme is in omgevingen voor authenticatie op afstand.
Ten tweede hebben we een lokale KDC voor Kerberos om lokale accounts te ondersteunen. Dit maakt gebruik van zowel IAKerb als de Security Account Manager (SAM) van de lokale machine om berichten door te geven tussen externe lokale machines zonder afhankelijk te zijn van DNS, netlogon of DCLocator. In feite vereist het ook geen nieuwe poort voor communicatie. Het is belangrijk op te merken dat verkeer wordt gecodeerd via de Advanced Encryption Standard (AES) blokcodering.
In de komende fases van deze afschaffing van NTLM zal Microsoft ook bestaande Windows-componenten aanpassen die hardgecodeerd zijn om NTLM te gebruiken. In plaats daarvan zullen ze het Negotiate-protocol gebruiken, zodat ze kunnen profiteren van IAKerb en de lokale KDC voor Kerberos. NTLM zal nog steeds worden ondersteund als een terugvalmechanisme om de bestaande compatibiliteit te behouden. In de tussentijd verbetert Microsoft de bestaande NTLM-beheercontroles om organisaties meer inzicht te geven in waar en hoe NTLM is worden gebruikt binnen hun infrastructuur, waardoor ze ook meer gedetailleerde controle hebben over het uitschakelen van het protocol voor een bepaalde dienst.
Het uiteindelijke doel is uiteraard om NTLM uiteindelijk standaard uit te schakelen in Windows 11, zolang de telemetriegegevens deze mogelijkheid ondersteunen. Voorlopig heeft Microsoft organisaties aangemoedigd om toezicht te houden op hun gebruik van NTLM, auditcode die de gebruik van dit verouderde protocol en houd verdere updates van het technologiebedrijf uit Redmond hierover in de gaten onderwerp.