Microsoft хочет исключить аутентификацию NTLM из Windows

Microsoft выразила намерение поэтапно отказаться от аутентификации NTLM в Windows 11 в пользу Kerberos с введением новых резервных механизмов.

Ключевые выводы

  • Microsoft постепенно отказывается от аутентификации пользователей NT LAN Manager (NTLM) в пользу Kerberos в Windows 11 для повышения безопасности.
  • Компания разрабатывает новые резервные механизмы, такие как IAKerb и локальный центр распространения ключей (KDC) для Kerberos, чтобы устранить ограничения протокола.
  • Microsoft совершенствует средства управления NTLM и модифицирует компоненты Windows для использования протокола Negotiate с целью в конечном итоге отключить NTLM по умолчанию в Windows 11.

Безопасность на первом плане для Microsoft, когда дело доходит до Windows, что ожидается, поскольку ее операционную систему используют более миллиарда пользователей. Более года назад компания объявила, что избавление от блока сообщений сервера версии 1 (SMB1) в Windows 11 Home, и сегодня стало известно, что компания планирует постепенно отказаться от аутентификации пользователей NT LAN Manager (NTLM) в пользу Kerberos.

В подробный пост в блогеMicrosoft объяснила, что Kerberos является протоколом аутентификации по умолчанию в Windows уже более 20 лет, но в некоторых сценариях он по-прежнему не работает, что требует использования NTLM. Чтобы справиться с этими крайними случаями, компания разрабатывает новые резервные механизмы в Windows 11, такие как Начальная и сквозная аутентификация с использованием Kerberos (IAKerb) и локального центра распространения ключей (KDC) для Керберос.

NTLM по-прежнему популярен, поскольку имеет множество преимуществ, таких как отсутствие необходимости в локальной сети. подключение к контроллеру домена (DC) и не требуется знать личность цели сервер. Стремясь воспользоваться подобными преимуществами, разработчики делают выбор в пользу удобства и жестко программируют NTLM. в приложениях и службах, даже не рассматривая более безопасные и расширяемые протоколы, такие как Kerberos. Однако, поскольку Kerberos имеет определенные ограничения для повышения безопасности, и это не учтено в приложения, в которых жестко запрограммирована аутентификация NTLM, многие организации не могут просто отключить устаревшую протокол.

Чтобы обойти ограничения Kerberos и сделать его более привлекательным вариантом для разработчиков и организаций, Microsoft создает в Windows 11 новые функции, которые делают современный протокол жизнеспособным вариантом для приложений и услуги.

Первым улучшением является IAKerb, общедоступное расширение, позволяющее выполнять аутентификацию с помощью контроллера домена через сервер, имеющий прямой доступ к вышеупомянутой инфраструктуре. Он использует стек проверки подлинности Windows для прокси-запросов Keberos, поэтому клиентскому приложению не требуется видимость контроллера домена. Сообщения криптографически шифруются и защищаются даже при передаче, что делает IAKerb подходящим механизмом в средах удаленной аутентификации.

Во-вторых, у нас есть локальный KDC для Kerberos для поддержки локальных учетных записей. При этом используются преимущества как IAKerb, так и диспетчера учетных записей безопасности (SAM) локального компьютера для передачи сообщений между удаленными локальными компьютерами без необходимости зависеть от DNS, входа в сеть или DCLocator. Фактически, это также не требует открытия какого-либо нового порта для связи. Важно отметить, что трафик шифруется с помощью блочного шифра Advanced Encryption Standard (AES).

В течение следующих нескольких этапов прекращения поддержки NTLM Microsoft также изменит существующие компоненты Windows, которые жестко запрограммированы для использования NTLM. Вместо этого они будут использовать протокол Negotiate, чтобы получить выгоду от IAKerb и локального KDC для Kerberos. NTLM по-прежнему будет поддерживаться в качестве резервного механизма для сохранения существующей совместимости. Тем временем Microsoft совершенствует существующие средства управления NTLM, чтобы предоставить организациям больше информации о том, где и как используется NTLM. используются в их инфраструктуре, что также позволяет им более детально контролировать отключение протокола для конкретной службы.

Конечно, конечная цель — в конечном итоге отключить NTLM по умолчанию в Windows 11, если данные телеметрии поддерживают эту возможность. На данный момент Microsoft призывает организации следить за использованием ими NTLM — кода аудита, который жестко запрограммирует использовать этот устаревший протокол и отслеживать дальнейшие обновления от редмондской технологической фирмы по этому поводу. тема.