Microsoft vrea să elimine autentificarea NTLM din Windows

Microsoft și-a exprimat intenția de a elimina treptat autentificarea NTLM în Windows 11 în favoarea Kerberos, cu noi mecanisme de rezervă.

Recomandări cheie

  • Microsoft renunță treptat la autentificarea utilizatorilor NT LAN Manager (NTLM) în favoarea Kerberos în Windows 11 pentru a îmbunătăți securitatea.
  • Compania dezvoltă noi mecanisme de rezervă, cum ar fi IAKerb și un centru local de distribuție a cheilor (KDC) pentru Kerberos, pentru a aborda limitările protocolului.
  • Microsoft îmbunătățește controalele de gestionare NTLM și modifică componentele Windows pentru a utiliza protocolul Negotiate, cu scopul de a dezactiva NTLM în mod implicit în Windows 11.

Securitatea este în prim plan pentru Microsoft când vine vorba de Windows, care este de așteptat având în vedere că sistemul său de operare este utilizat de peste un miliard de utilizatori. Acum peste un an, compania a anunțat că este scăparea de Server Message Block versiunea 1 (SMB1) în Windows 11 Home și astăzi, a dezvăluit că încearcă să elimine treptat autentificarea utilizatorilor NT LAN Manager (NTLM) în favoarea Kerberos.

Într-o postare detaliată pe blog, Microsoft a explicat că Kerberos este protocolul de autentificare implicit pe Windows de peste 20 de ani, dar eșuează în continuare în unele scenarii, ceea ce obligă apoi utilizarea NTLM. Pentru a aborda aceste cazuri marginale, firma dezvoltă noi mecanisme de rezervă în Windows 11, cum ar fi Autentificare inițială și trecere folosind Kerberos (IAKerb) și un centru local de distribuție a cheilor (KDC) pentru Kerberos.

NTLM este încă popular deoarece prezintă multiple avantaje, cum ar fi faptul că nu necesită o rețea locală conexiune la un controler de domeniu (DC) și nefiind obligat să cunoască identitatea țintei Server. În încercarea de a profita de beneficii ca acestea, dezvoltatorii optează pentru comoditate și codifică NTLM în aplicații și servicii fără a lua în considerare protocoale mai sigure și extensibile precum Kerberos. Cu toate acestea, deoarece Kerberos are anumite limitări pentru a crește securitatea și nu este luat în considerare în aplicații care au autentificare NTLM codificată, multe organizații nu pot dezactiva pur și simplu moștenirea protocol.

Pentru a ocoli limitările Kerberos și a face din acesta o opțiune mai atractivă pentru dezvoltatori și organizații, Microsoft construiește noi funcții în Windows 11 care fac din protocolul modern o opțiune viabilă pentru aplicații și Servicii.

Prima îmbunătățire este IAKerb, care este o extensie publică care permite autentificarea cu un DC printr-un server care are acces direct la infrastructura menționată mai sus. Acesta folosește stiva de autentificare Windows pentru a proxy solicitările Keberos, astfel încât aplicația client să nu necesite vizibilitate pentru DC. Mesajele sunt criptate criptografic și securizate chiar și în tranzit, ceea ce face din IAKerb un mecanism adecvat în mediile de autentificare la distanță.

În al doilea rând, avem un KDC local pentru Kerberos pentru a sprijini conturile locale. Acest lucru profită atât de IAKerb, cât și de Managerul contului de securitate al mașinii locale (SAM) pentru a transmite mesaje între mașinile locale la distanță, fără a fi nevoie să depindă de DNS, netlogon sau DCLocator. De fapt, nici nu necesită deschiderea vreunui port nou pentru comunicare. Este important de reținut că traficul este criptat prin cifrul bloc AES (Advanced Encryption Standard).

În următoarele câteva faze ale acestei depreciere NTLM, Microsoft va modifica, de asemenea, componentele Windows existente, care sunt codificate pentru a utiliza NTLM. În schimb, vor folosi protocolul de negociere, astfel încât să poată beneficia de IAKerb și KDC local pentru Kerberos. NTLM va continua să fie acceptat ca mecanism de rezervă pentru a menține compatibilitatea existentă. Între timp, Microsoft îmbunătățește controalele de management NTLM existente pentru a oferi organizațiilor mai multă vizibilitate asupra locului și cum este NTLM. fiind utilizate în cadrul infrastructurii lor, permițându-le, de asemenea, un control mai granular asupra dezactivării protocolului pentru un anumit serviciu.

Desigur, scopul final este de a dezactiva în cele din urmă NTLM în mod implicit în Windows 11, atâta timp cât datele de telemetrie acceptă această oportunitate. Deocamdată, Microsoft a încurajat organizațiile să monitorizeze utilizarea NTLM, codul de audit care codifică hard utilizarea acestui protocol moștenit și urmăriți actualizările ulterioare de la firma de tehnologie Redmond în acest sens subiect.