Мицрософт је изразио намеру да постепено укине НТЛМ аутентификацију у Виндовс 11 у корист Керберос-а са новим резервним механизмима.
Кључне Такеаваис
- Мицрософт постепено укида НТ ЛАН Манагер (НТЛМ) аутентификацију корисника у корист Керберос-а у оперативном систему Виндовс 11 да би побољшао безбедност.
- Компанија развија нове резервне механизме као што су ИАКерб и локални центар за дистрибуцију кључева (КДЦ) за Керберос како би се позабавили ограничењима у протоколу.
- Мицрософт побољшава контроле управљања НТЛМ-ом и модификује компоненте Виндовс-а да би користиле Неготиате протокол, са циљем да на крају онемогући НТЛМ подразумевано у оперативном систему Виндовс 11.
Безбедност је у првом плану за Мицрософт када је у питању Виндовс, за који се очекује да види да његов оперативни систем користи преко милијарду корисника. Пре више од годину дана, компанија је објавила да јесте отклањање серверског блока порука верзије 1 (СМБ1) у оперативном систему Виндовс 11 Хоме, а данас је открио да жели да постепено укине аутентификацију корисника НТ ЛАН Манагер-а (НТЛМ) у корист Керберос-а.
У а детаљан блог пост, Мицрософт је објаснио да је Керберос био подразумевани протокол за аутентификацију у Виндовс-у више од 20 година, али и даље не успева у неким сценаријима, што онда налаже коришћење НТЛМ-а. Да би се позабавила овим рубним случајевима, компанија развија нове резервне механизме у оперативном систему Виндовс 11, као што су Иницијална и пролазна аутентикација користећи Керберос (ИАКерб) и локални центар за дистрибуцију кључева (КДЦ) за Керберос.
НТЛМ је и даље популаран јер има вишеструке предности као што је не захтева локалну мрежу везу са контролором домена (ДЦ) и није потребно да знате идентитет циља сервер. У покушају да искористе предности попут ових, програмери се одлучују за практичност и тврдо кодирају НТЛМ у апликацијама и услугама чак и без разматрања сигурнијих и проширивих протокола као што је Керберос. Међутим, пошто Керберос има одређена ограничења за повећање безбедности, и то није урачунато у апликације које имају чврсто кодирану НТЛМ аутентификацију, многе организације не могу једноставно искључити наслеђе протокола.
Да бисте заобишли ограничења Керберос-а и учинили га привлачнијом опцијом за програмере и организације, Мицрософт прави нове функције у Виндовс 11 које модерни протокол чине одрживом опцијом за апликације и услуге.
Прво побољшање је ИАКерб, што је јавна екстензија која омогућава аутентификацију са ДЦ-ом преко сервера који има приступ горе поменутој инфраструктури из видног поља. Користи Виндовс стек за аутентификацију за проки Кеберос захтеве тако да клијентска апликација не захтева видљивост ДЦ-у. Поруке су криптографски шифроване и обезбеђене чак и током транзита, што чини ИАКерб погодним механизмом у окружењима удаљене аутентификације.
Друго, имамо локални КДЦ за Керберос који подржава локалне налоге. Ово користи предности ИАКерб-а и Сецурити Аццоунт Манагер-а (САМ) локалне машине за прослеђивање порука између удаљених локалних машина без потребе да зависи од ДНС-а, нетлогон-а или ДЦЛоцатор-а. У ствари, ни то не захтева отварање новог порта за комуникацију. Важно је напоменути да се саобраћај шифрује путем блок шифре напредног стандарда шифровања (АЕС).
Током наредних неколико фаза овог застаревања НТЛМ-а, Мицрософт ће такође модификовати постојеће Виндовс компоненте које су тврдо кодиране да користе НТЛМ. Уместо тога, они ће искористити Неготиате протокол тако да могу имати користи од ИАКерб-а и локалног КДЦ-а за Керберос. НТЛМ ће и даље бити подржан као резервни механизам за одржавање постојеће компатибилности. У међувремену, Мицрософт побољшава постојеће контроле управљања НТЛМ-ом како би организацијама дао већу видљивост о томе где и како се НТЛМ налази се користе у оквиру њихове инфраструктуре, што им такође омогућава детаљнију контролу над онемогућавањем протокола за одређену услугу.
Наравно, крајњи циљ је да се НТЛМ подразумевано онемогући у оперативном систему Виндовс 11, све док телеметријски подаци подржавају ову прилику. За сада, Мицрософт је подстицао организације да надгледају своју употребу НТЛМ-а, кода за ревизију који чврсто кодира коришћење овог застарелог протокола и пратите даља ажурирања из редмонд технолошке фирме у вези са овим тема.