Firma Microsoft wyraziła zamiar stopniowego wycofywania uwierzytelniania NTLM w systemie Windows 11 na rzecz protokołu Kerberos z nowymi mechanizmami awaryjnymi.
Kluczowe dania na wynos
- Aby poprawić bezpieczeństwo, firma Microsoft wycofuje uwierzytelnianie użytkowników NT LAN Manager (NTLM) na rzecz protokołu Kerberos w systemie Windows 11.
- Firma opracowuje nowe mechanizmy awaryjne, takie jak IAKerb i lokalne centrum dystrybucji kluczy (KDC) dla protokołu Kerberos, aby wyeliminować ograniczenia protokołu.
- Firma Microsoft ulepsza mechanizmy zarządzania NTLM i modyfikuje składniki systemu Windows tak, aby korzystały z protokołu Negotiate, mając na celu ostateczne domyślne wyłączenie protokołu NTLM w systemie Windows 11.
Bezpieczeństwo jest na pierwszym miejscu dla Microsoftu, jeśli chodzi o system Windows, czego można się spodziewać, biorąc pod uwagę, że z jego systemu operacyjnego korzysta ponad miliard użytkowników. Ponad rok temu firma ogłosiła, że tak pozbycie się bloku komunikatów serwera w wersji 1 (SMB1)
W szczegółowy wpis na bloguFirma Microsoft wyjaśniła, że Kerberos jest domyślnym protokołem uwierzytelniania w systemie Windows od ponad 20 lat, ale w niektórych scenariuszach nadal zawodzi, co wymusza korzystanie z protokołu NTLM. Aby stawić czoła tym przypadkom Edge, firma opracowuje nowe mechanizmy awaryjne w systemie Windows 11, takie jak Uwierzytelnianie początkowe i przekazywane przy użyciu protokołu Kerberos (IAKerb) i lokalnego centrum dystrybucji kluczy (KDC) dla Kerberos.
NTLM jest nadal popularny, ponieważ ma wiele zalet, takich jak brak konieczności korzystania z sieci lokalnej połączenie z kontrolerem domeny (DC) i brak konieczności znajomości tożsamości celu serwer. Chcąc wykorzystać takie korzyści, programiści wybierają wygodę i na stałe kodują NTLM w aplikacjach i usługach, nawet nie biorąc pod uwagę bezpieczniejszych i rozszerzalnych protokołów, takich jak Kerberos. Ponieważ jednak protokół Kerberos ma pewne ograniczenia zwiększające bezpieczeństwo i nie jest on uwzględniany aplikacji, które mają zakodowane uwierzytelnianie NTLM, wiele organizacji nie może po prostu wyłączyć starszej wersji protokół.
Aby obejść ograniczenia protokołu Kerberos i uczynić go bardziej atrakcyjną opcją dla programistów i organizacji, Firma Microsoft tworzy nowe funkcje w systemie Windows 11, dzięki którym nowoczesny protokół stanie się realną opcją dla aplikacji i usługi.
Pierwszym ulepszeniem jest IAKerb, które jest rozszerzeniem publicznym umożliwiającym uwierzytelnianie za pomocą kontrolera domeny za pośrednictwem serwera mającego bezpośredni dostęp do wyżej wymienionej infrastruktury. Wykorzystuje stos uwierzytelniania systemu Windows do proxy żądań Keberos, dzięki czemu aplikacja kliencka nie wymaga widoczności dla kontrolera domeny. Wiadomości są szyfrowane kryptograficznie i zabezpieczane nawet podczas przesyłania, co sprawia, że IAKerb jest odpowiednim mechanizmem w środowiskach zdalnego uwierzytelniania.
Po drugie, mamy lokalne KDC dla protokołu Kerberos obsługujące konta lokalne. Wykorzystuje to zarówno IAKerb, jak i Menedżera konta zabezpieczeń (SAM) komputera lokalnego do przekazywania wiadomości między zdalnymi komputerami lokalnymi bez konieczności polegania na DNS, netlogon lub DCLocator. Tak naprawdę nie wymaga otwierania żadnego nowego portu do komunikacji. Należy pamiętać, że ruch jest szyfrowany za pomocą szyfru blokowego Advanced Encryption Standard (AES).
W ciągu kilku kolejnych etapów wycofywania protokołu NTLM firma Microsoft zmodyfikuje także istniejące składniki systemu Windows, które są na stałe zakodowane pod kątem korzystania z protokołu NTLM. Zamiast tego wykorzystają protokół Negotiate, aby móc korzystać z IAKerb i lokalnego KDC dla protokołu Kerberos. Protokół NTLM będzie nadal obsługiwany jako mechanizm awaryjny pozwalający zachować istniejącą kompatybilność. W międzyczasie firma Microsoft ulepsza istniejące mechanizmy zarządzania NTLM, aby zapewnić organizacjom lepszy wgląd w to, gdzie i jak działa NTLM wykorzystywane w ich infrastrukturze, co pozwala im również na bardziej szczegółową kontrolę nad wyłączaniem protokołu dla określonej usługi.
Oczywiście ostatecznym celem jest ostateczne domyślne wyłączenie protokołu NTLM w systemie Windows 11, o ile dane telemetryczne obsługują tę możliwość. Na razie firma Microsoft zachęca organizacje do monitorowania korzystania z protokołu NTLM, kodu inspekcji, który na stałe koduje korzystania z tego starszego protokołu i śledź dalsze aktualizacje od firmy technologicznej z Redmond na ten temat temat.