Microsoft je izrazil namen postopne opustitve preverjanja pristnosti NTLM v sistemu Windows 11 v korist Kerberos z novimi nadomestnimi mehanizmi.
Ključni zaključki
- Microsoft postopoma opušča preverjanje pristnosti uporabnikov NT LAN Manager (NTLM) v korist Kerberos v sistemu Windows 11, da bi izboljšal varnost.
- Podjetje razvija nove rezervne mehanizme, kot sta IAKerb in lokalni center za distribucijo ključev (KDC) za Kerberos, da odpravi omejitve v protokolu.
- Microsoft izboljšuje nadzor upravljanja NTLM in spreminja komponente sistema Windows za uporabo protokola Negotiate, s ciljem, da sčasoma privzeto onemogoči NTLM v sistemu Windows 11.
Varnost je v ospredju za Microsoft, ko gre za Windows, kar je pričakovano, saj njegov operacijski sistem uporablja več kot milijarda uporabnikov. Pred več kot letom dni je podjetje objavilo, da je znebite se bloka sporočil strežnika različice 1 (SMB1) v sistemu Windows 11 Home, danes pa je razkrilo, da želi postopoma opustiti avtentikacijo uporabnikov NT LAN Manager (NTLM) v korist Kerberos.
V podrobna objava v blogu, je Microsoft pojasnil, da je Kerberos že več kot 20 let privzeti protokol za preverjanje pristnosti v sistemu Windows, vendar v nekaterih scenarijih še vedno ne uspe, kar nato zahteva uporabo NTLM. Da bi se lotili teh robnih primerov, podjetje razvija nove nadomestne mehanizme v sistemu Windows 11, kot je npr Začetno in prehodno preverjanje pristnosti z uporabo Kerberos (IAKerb) in lokalnega centra za distribucijo ključev (KDC) za Kerberos.
NTLM je še vedno priljubljen, ker ima več prednosti, kot je nepotrebno lokalno omrežje povezavo s krmilnikom domene (DC) in ni treba poznati identitete cilja strežnik. V želji, da bi izkoristili prednosti, kot so te, se razvijalci odločajo za udobje in trdo kodirajo NTLM v aplikacijah in storitvah, ne da bi sploh razmišljali o bolj varnih in razširljivih protokolih, kot je Kerberos. Ker pa ima Kerberos določene omejitve za povečanje varnosti, se ne upošteva v aplikacij, ki imajo trdo kodirano preverjanje pristnosti NTLM, mnoge organizacije ne morejo preprosto izklopiti podedovanega protokol.
Da bi zaobšli omejitve Kerberosa in ga naredili bolj privlačno možnost za razvijalce in organizacije, Microsoft gradi nove funkcije v sistemu Windows 11, zaradi katerih je sodobni protokol izvedljiva možnost za aplikacije in storitve.
Prva izboljšava je IAKerb, ki je javna razširitev, ki omogoča avtentikacijo z DC prek strežnika, ki ima dostop do zgoraj omenjene infrastrukture v neposredni bližini. Izkorišča sklad za preverjanje pristnosti Windows za proxy zahteve Keberos, tako da odjemalska aplikacija ne potrebuje vidnosti za DC. Sporočila so kriptografsko šifrirana in zavarovana tudi med prenosom, zaradi česar je IAKerb primeren mehanizem v okoljih oddaljene avtentikacije.
Drugič, imamo lokalni KDC za Kerberos za podporo lokalnim računom. To izkorišča IAKerb in upravitelja varnostnih računov lokalnega računalnika (SAM) za posredovanje sporočil med oddaljenimi lokalnimi stroji, ne da bi bili odvisni od DNS, netlogon ali DCLocator. Pravzaprav tudi ne zahteva odpiranja novih vrat za komunikacijo. Pomembno je vedeti, da je promet šifriran z blokovno šifro Advanced Encryption Standard (AES).
V naslednjih nekaj fazah te opustitve NTLM bo Microsoft spremenil tudi obstoječe komponente sistema Windows, ki so trdo kodirane za uporabo NTLM. Namesto tega bodo izkoristili protokol Negotiate, da bodo lahko izkoristili IAKerb in lokalni KDC za Kerberos. NTLM bo še vedno podprt kot nadomestni mehanizem za ohranjanje obstoječe združljivosti. Medtem Microsoft izboljšuje obstoječe kontrole upravljanja NTLM, da bi organizacijam omogočil več preglednosti nad tem, kje in kako je NTLM ki se uporabljajo znotraj njihove infrastrukture, kar jim omogoča tudi natančnejši nadzor nad onemogočanjem protokola za določeno storitev.
Seveda je končni cilj privzeto onemogočiti NTLM v sistemu Windows 11, če telemetrični podatki podpirajo to možnost. Za zdaj je Microsoft spodbujal organizacije, naj spremljajo svojo uporabo NTLM, revizijske kode, ki trdo kodira uporabo tega podedovanega protokola in spremljajte nadaljnje posodobitve tehnološkega podjetja Redmond v zvezi s tem tema.