Spoločnosť Microsoft vyjadrila zámer postupne zrušiť overovanie NTLM v systéme Windows 11 v prospech Kerberos s novými záložnými mechanizmami.
Kľúčové informácie
- Microsoft postupne ruší overovanie používateľov pomocou NT LAN Manager (NTLM) v prospech Kerberos v systéme Windows 11, aby sa zlepšila bezpečnosť.
- Spoločnosť vyvíja nové záložné mechanizmy, ako je IAKerb a lokálne centrum distribúcie kľúčov (KDC) pre Kerberos na riešenie obmedzení v protokole.
- Spoločnosť Microsoft vylepšuje ovládacie prvky správy NTLM a upravuje súčasti systému Windows tak, aby používali protokol Negotiate, s cieľom nakoniec predvolene zakázať NTLM v systéme Windows 11.
Bezpečnosť je v popredí pre Microsoft, pokiaľ ide o Windows, od ktorého sa očakáva, že jeho operačný systém používa viac ako miliarda používateľov. Pred viac ako rokom spoločnosť oznámila, že áno odstránenie Server Message Block verzie 1 (SMB1) v systéme Windows 11 Home a dnes odhalila, že sa chystá postupne zrušiť overovanie používateľov NT LAN Manager (NTLM) v prospech Kerberos.
V podrobný blogový príspevokMicrosoft vysvetlil, že Kerberos je predvoleným overovacím protokolom v systéme Windows už viac ako 20 rokov, ale v niektorých scenároch stále zlyháva, čo potom vyžaduje použitie NTLM. S cieľom riešiť tieto okrajové prípady spoločnosť vyvíja nové záložné mechanizmy v systéme Windows 11, ako napr Počiatočné overenie a overenie pomocou protokolu Kerberos (IAKerb) a lokálneho centra distribúcie kľúčov (KDC) pre Kerberos.
NTLM je stále populárny, pretože má viacero výhod, napríklad nevyžaduje lokálnu sieť pripojenie k radiču domény (DC) a nie je potrebné poznať identitu cieľa server. V snahe využiť výhody, ako sú tieto, sa vývojári rozhodli pre pohodlie a pevne zakódovali NTLM v aplikáciách a službách bez ohľadu na bezpečnejšie a rozšíriteľnejšie protokoly ako Kerberos. Keďže však Kerberos má určité obmedzenia na zvýšenie bezpečnosti, a nie je zohľadnený aplikácie, ktoré majú napevno zakódovanú autentifikáciu NTLM, mnohé organizácie nemôžu jednoducho vypnúť dedičstvo protokol.
S cieľom obísť obmedzenia protokolu Kerberos a urobiť z neho lákavejšiu možnosť pre vývojárov a organizácie, Spoločnosť Microsoft vytvára nové funkcie v systéme Windows 11, vďaka ktorým je moderný protokol životaschopnou možnosťou pre aplikácie a služby.
Prvým vylepšením je IAKerb, čo je verejné rozšírenie, ktoré umožňuje autentifikáciu s DC cez server, ktorý má priamy prístup k vyššie uvedenej infraštruktúre. Využíva overovací zásobník Windows na proxy požiadavky Keberos, takže klientska aplikácia nevyžaduje viditeľnosť pre DC. Správy sú kryptograficky šifrované a zabezpečené aj pri prenose, čo robí IAKerb vhodným mechanizmom v prostrediach vzdialenej autentifikácie.
Po druhé, máme lokálne KDC pre Kerberos na podporu miestnych účtov. Toto využíva výhody IAKerb a správcu bezpečnostných účtov (SAM) lokálneho počítača na odovzdávanie správ medzi vzdialenými lokálnymi počítačmi bez toho, aby ste museli byť závislí od DNS, netlogon alebo DClocator. V skutočnosti nevyžaduje otvorenie žiadneho nového portu pre komunikáciu. Je dôležité poznamenať, že prevádzka je šifrovaná pomocou blokovej šifry Advanced Encryption Standard (AES).
Počas niekoľkých nasledujúcich fáz tohto ukončenia podpory NTLM spoločnosť Microsoft tiež upraví existujúce súčasti systému Windows, ktoré sú napevno naprogramované na používanie NTLM. Namiesto toho využijú protokol Negotiate, aby mohli využívať výhody IAKerb a miestneho KDC pre Kerberos. NTLM bude naďalej podporovaný ako záložný mechanizmus na zachovanie existujúcej kompatibility. Spoločnosť Microsoft medzitým vylepšuje existujúce ovládacie prvky správy NTLM, aby organizáciám poskytla lepší prehľad o tom, kde a ako sa NTLM nachádza. v rámci ich infraštruktúry, čo im tiež umožňuje podrobnejšiu kontrolu nad deaktiváciou protokolu pre konkrétnu službu.
Samozrejme, konečným cieľom je predvolene deaktivovať NTLM v systéme Windows 11, pokiaľ telemetrické údaje podporujú túto príležitosť. Spoločnosť Microsoft zatiaľ vyzvala organizácie, aby monitorovali používanie NTLM, kódu auditu, ktorý pevne zakóduje používanie tohto staršieho protokolu a sledujte ďalšie aktualizácie od technologickej firmy v Redmonde týkajúce sa tohto tému.