Microsoft har uttrykt intensjon om å fase ut NTLM-autentisering i Windows 11 til fordel for Kerberos med nye reservemekanismer på plass.
Viktige takeaways
- Microsoft faser ut NT LAN Manager (NTLM) brukerautentisering til fordel for Kerberos i Windows 11 for å forbedre sikkerheten.
- Selskapet utvikler nye reservemekanismer som IAKerb og et lokalt nøkkeldistribusjonssenter (KDC) for Kerberos for å håndtere begrensninger i protokollen.
- Microsoft forbedrer NTLM-administrasjonskontrollene og endrer Windows-komponenter for å bruke Negotiate-protokollen, med målet om til slutt å deaktivere NTLM som standard i Windows 11.
Sikkerhet er i høysetet for Microsoft når det kommer til Windows, som forventes å se at operativsystemet brukes av over en milliard brukere. For over et år siden annonserte selskapet at det er det bli kvitt Server Message Block versjon 1 (SMB1) i Windows 11 Home, og i dag har det avslørt at det er ute etter å fase ut NT LAN Manager (NTLM) brukerautentisering til fordel for Kerberos.
I en detaljert blogginnlegg, har Microsoft forklart at Kerberos har vært standard autentiseringsprotokoll på Windows i over 20 år, men den mislykkes fortsatt i noen scenarier, som da krever bruk av NTLM. For å takle disse kantsakene utvikler firmaet nye reservemekanismer i Windows 11, som f.eks Initial and Pass Through Authentication ved hjelp av Kerberos (IAKerb) og et lokalt nøkkeldistribusjonssenter (KDC) for Kerberos.
NTLM er fortsatt populært fordi det har flere fordeler som å ikke kreve et lokalt nettverk tilkobling til en domenekontroller (DC) og ikke er pålagt å vite identiteten til målet server. I et forsøk på å utnytte fordeler som disse, velger utviklere for bekvemmelighet og hardkoder NTLM i applikasjoner og tjenester uten engang å vurdere sikrere og utvidbare protokoller som Kerberos. Imidlertid, siden Kerberos har visse begrensninger for å øke sikkerheten, og det er ikke tatt hensyn til applikasjoner som har NTLM-autentisering hardkodet, kan mange organisasjoner ikke bare slå av arven protokoll.
For å omgå begrensningene til Kerberos og gjøre det til et mer fristende alternativ for utviklere og organisasjoner, Microsoft bygger nye funksjoner i Windows 11 som gjør den moderne protokollen til et levedyktig alternativ for applikasjoner og tjenester.
Den første forbedringen er IAKerb, som er en offentlig utvidelse som tillater autentisering med en DC gjennom en server som har line-of-sight tilgang til den nevnte infrastrukturen. Den utnytter Windows-autentiseringsstakken til proxy Keberos-forespørsler slik at klientapplikasjonen ikke krever synlighet til DC. Meldinger er kryptografisk kryptert og sikret selv under overføring, noe som gjør IAKerb til en passende mekanisme i eksterne autentiseringsmiljøer.
For det andre har vi en lokal KDC for Kerberos for å støtte lokale kontoer. Dette utnytter både IAKerb og den lokale maskinens Security Account Manager (SAM) for å sende meldinger mellom eksterne lokale maskiner uten å være avhengig av DNS, netlogon eller DCLocator. Det krever faktisk ikke å åpne noen ny port for kommunikasjon heller. Det er viktig å merke seg at trafikken er kryptert gjennom Advanced Encryption Standard (AES) blokkchiffer.
I løpet av de neste fasene av denne NTLM-avviklingen vil Microsoft også endre eksisterende Windows-komponenter som er hardkodet for å bruke NTLM. I stedet vil de utnytte Negotiate-protokollen slik at de kan dra nytte av IAKerb og den lokale KDC for Kerberos. NTLM vil fortsatt støttes som en reservemekanisme for å opprettholde eksisterende kompatibilitet. I mellomtiden forbedrer Microsoft eksisterende NTLM-administrasjonskontroller for å gi organisasjoner mer synlighet over hvor og hvordan NTLM er brukes i deres infrastruktur, og gir dem også mer detaljert kontroll over deaktivering av protokollen for en bestemt tjeneste.
Selvfølgelig er sluttmålet å deaktivere NTLM som standard i Windows 11, så lenge telemetridataene støtter denne muligheten. Foreløpig har Microsoft oppfordret organisasjoner til å overvåke deres bruk av NTLM, revisjonskode som hardkoder bruk av denne eldre protokollen, og hold styr på ytterligere oppdateringer fra Redmond-teknologifirmaet angående dette emne.