A Microsoft expressou a intenção de eliminar gradualmente a autenticação NTLM no Windows 11 em favor do Kerberos com novos mecanismos de fallback em vigor.
Principais conclusões
- A Microsoft está descontinuando a autenticação de usuário do NT LAN Manager (NTLM) em favor do Kerberos no Windows 11 para melhorar a segurança.
- A empresa está desenvolvendo novos mecanismos de fallback, como IAKerb e um Centro de Distribuição de Chaves (KDC) local para Kerberos, para resolver as limitações do protocolo.
- A Microsoft está aprimorando os controles de gerenciamento do NTLM e modificando os componentes do Windows para usar o protocolo Negotiate, com o objetivo de eventualmente desabilitar o NTLM por padrão no Windows 11.
A segurança está na vanguarda para a Microsoft quando se trata de Windows, o que se espera visto que seu sistema operacional é utilizado por mais de um bilhão de usuários. Há mais de um ano, a empresa anunciou que está livrando-se do Server Message Block versão 1 (SMB1) no Windows 11 Home e hoje revelou que pretende eliminar gradualmente a autenticação de usuário do NT LAN Manager (NTLM) em favor do Kerberos.
Em um postagem detalhada no blog, a Microsoft explicou que Kerberos tem sido o protocolo de autenticação padrão no Windows há mais de 20 anos, mas ainda falha em alguns cenários, o que obriga o uso de NTLM. Para lidar com esses casos extremos, a empresa está desenvolvendo novos mecanismos alternativos no Windows 11, como Autenticação inicial e de passagem usando Kerberos (IAKerb) e um centro de distribuição de chaves local (KDC) para Cérbero.
O NTLM ainda é popular porque apresenta múltiplas vantagens, como não exigir uma rede local conexão a um Controlador de Domínio (DC) e não sendo necessário saber a identidade do alvo servidor. Em uma tentativa de aproveitar benefícios como esses, os desenvolvedores estão optando pela conveniência e codificando NTLM em aplicações e serviços sem sequer considerar protocolos mais seguros e extensíveis como o Kerberos. No entanto, como o Kerberos tem certas limitações para aumentar a segurança e não é contabilizado no aplicativos que possuem autenticação NTLM codificada, muitas organizações não podem simplesmente desligar o legado protocolo.
Para contornar as limitações do Kerberos e torná-lo uma opção mais atraente para desenvolvedores e organizações, A Microsoft está construindo novos recursos no Windows 11 que tornam o protocolo moderno uma opção viável para aplicativos e Serviços.
A primeira melhoria é o IAKerb, que é uma extensão pública que permite a autenticação com um DC através de um servidor que possui acesso direto à infraestrutura mencionada. Ele aproveita a pilha de autenticação do Windows para fazer proxy de solicitações Keberos para que o aplicativo cliente não exija visibilidade para o controlador de domínio. As mensagens são criptografadas criptograficamente e protegidas mesmo em trânsito, o que torna o IAKerb um mecanismo adequado em ambientes de autenticação remota.
Em segundo lugar, temos um KDC local para Kerberos para oferecer suporte a contas locais. Isso aproveita o IAKerb e o Security Account Manager (SAM) da máquina local para passar mensagens entre máquinas locais remotas sem precisar depender de DNS, netlogon ou DCLocator. Na verdade, também não requer a abertura de nenhuma nova porta de comunicação. É importante observar que o tráfego é criptografado por meio da cifra de bloco Advanced Encryption Standard (AES).
Nas próximas fases desta descontinuação do NTLM, a Microsoft também modificará os componentes existentes do Windows que são codificados para usar o NTLM. Em vez disso, eles aproveitarão o protocolo Negotiate para que possam se beneficiar do IAKerb e do KDC local para Kerberos. O NTLM continuará a ter suporte como um mecanismo alternativo para manter a compatibilidade existente. Entretanto, a Microsoft está a melhorar os controlos de gestão NTLM existentes para dar às organizações mais visibilidade sobre onde e como o NTLM é sendo usados em sua infraestrutura, permitindo-lhes também um controle mais granular sobre a desativação do protocolo para um serviço específico.
Claro, o objetivo final é desabilitar o NTLM por padrão no Windows 11, desde que os dados de telemetria suportem esta oportunidade. Por enquanto, a Microsoft incentivou as organizações a monitorar o uso do NTLM, código de auditoria que codifica o uso deste protocolo legado e acompanhe novas atualizações da empresa de tecnologia de Redmond em relação a este tema.