Microsoft har uttryckt sin avsikt att fasa ut NTLM-autentisering i Windows 11 till förmån för Kerberos med nya reservmekanismer på plats.
Viktiga takeaways
- Microsoft fasar ut NT LAN Manager (NTLM)-användarautentisering till förmån för Kerberos i Windows 11 för att förbättra säkerheten.
- Företaget utvecklar nya reservmekanismer som IAKerb och ett lokalt nyckeldistributionscenter (KDC) för Kerberos för att hantera begränsningar i protokollet.
- Microsoft förbättrar NTLM-hanteringskontroller och modifierar Windows-komponenter för att använda Negotiate-protokollet, med målet att så småningom inaktivera NTLM som standard i Windows 11.
Säkerheten är i främsta rummet för Microsoft när det kommer till Windows, vilket förväntas se till att dess operativsystem används av över en miljard användare. För över ett år sedan meddelade företaget att så är fallet bli av med Server Message Block version 1 (SMB1) i Windows 11 Home, och idag har det avslöjat att det är ute efter att fasa ut NT LAN Manager (NTLM)-användarautentisering till förmån för Kerberos.
I en detaljerat blogginlägg, har Microsoft förklarat att Kerberos har varit standardautentiseringsprotokollet på Windows i över 20 år, men det misslyckas fortfarande i vissa scenarier, vilket sedan kräver användning av NTLM. För att ta itu med dessa kantfall utvecklar företaget nya reservmekanismer i Windows 11 som t.ex Initial- och pass Through-autentisering med Kerberos (IAKerb) och ett lokalt nyckeldistributionscenter (KDC) för Kerberos.
NTLM är fortfarande populärt eftersom det har flera fördelar som att inte kräva ett lokalt nätverk anslutning till en domänkontrollant (DC) och behöver inte känna till målets identitet server. I ett försök att utnyttja fördelar som dessa, väljer utvecklare för bekvämlighet och hårdkodar NTLM i applikationer och tjänster utan att ens överväga säkrare och utbyggbara protokoll som Kerberos. Men eftersom Kerberos har vissa begränsningar för att öka säkerheten, och det tas inte med i det applikationer som har hårdkodad NTLM-autentisering kan många organisationer inte bara stänga av äldre protokoll.
För att kringgå Kerberos begränsningar och göra det till ett mer lockande alternativ för utvecklare och organisationer, Microsoft bygger nya funktioner i Windows 11 som gör det moderna protokollet till ett hållbart alternativ för applikationer och tjänster.
Den första förbättringen är IAKerb, som är ett offentligt tillägg som tillåter autentisering med en DC via en server som har linje-of-sight-åtkomst till ovannämnda infrastruktur. Det utnyttjar Windows-autentiseringsstacken till proxy Keberos-förfrågningar så att klientapplikationen inte kräver synlighet för DC. Meddelanden är kryptografiskt krypterade och säkrade även under överföring, vilket gör IAKerb till en lämplig mekanism i fjärrautentiseringsmiljöer.
För det andra har vi en lokal KDC för Kerberos för att stödja lokala konton. Detta drar fördel av både IAKerb och den lokala maskinens Security Account Manager (SAM) för att skicka meddelanden mellan lokala fjärrdatorer utan att behöva vara beroende av DNS, netlogon eller DCLocator. Faktum är att det inte kräver att man öppnar någon ny port för kommunikation heller. Det är viktigt att notera att trafiken krypteras genom blockchifferet Advanced Encryption Standard (AES).
Under de kommande faserna av denna NTLM-fasning kommer Microsoft också att modifiera befintliga Windows-komponenter som är hårdkodade för att använda NTLM. Istället kommer de att utnyttja Negotiate-protokollet så att de kan dra nytta av IAKerb och det lokala KDC för Kerberos. NTLM kommer fortfarande att stödjas som en reservmekanism för att upprätthålla befintlig kompatibilitet. Under tiden förbättrar Microsoft befintliga NTLM-hanteringskontroller för att ge organisationer mer insyn över var och hur NTLM är används inom sin infrastruktur, vilket också ger dem mer detaljerad kontroll över inaktivering av protokollet för en viss tjänst.
Naturligtvis är slutmålet att i slutändan inaktivera NTLM som standard i Windows 11, så länge som telemetridata stöder denna möjlighet. För närvarande har Microsoft uppmuntrat organisationer att övervaka deras användning av NTLM, revisionskod som hårdkodar använda detta äldre protokoll och hålla reda på ytterligare uppdateringar från Redmonds teknikföretag angående detta ämne.