Microsoft ได้แสดงความตั้งใจที่จะยุติการรับรองความถูกต้องของ NTLM ใน Windows 11 เพื่อสนับสนุน Kerberos โดยมีกลไกทางเลือกใหม่เข้ามาแทนที่
ประเด็นที่สำคัญ
- Microsoft กำลังยุติการรับรองความถูกต้องผู้ใช้ NT LAN Manager (NTLM) แทน Kerberos ใน Windows 11 เพื่อปรับปรุงความปลอดภัย
- บริษัทกำลังพัฒนากลไกทางเลือกใหม่ เช่น IAKerb และ Key Distribution Center (KDC) ในพื้นที่สำหรับ Kerberos เพื่อจัดการกับข้อจำกัดในโปรโตคอล
- Microsoft กำลังปรับปรุงการควบคุมการจัดการ NTLM และปรับเปลี่ยนส่วนประกอบของ Windows เพื่อใช้โปรโตคอล Negotiate โดยมีเป้าหมายที่จะปิดการใช้งาน NTLM ตามค่าเริ่มต้นใน Windows 11 ในที่สุด
การรักษาความปลอดภัยอยู่ในระดับแนวหน้า สำหรับ Microsoft เมื่อพูดถึง Windows ซึ่งคาดว่าจะมีผู้ใช้งานระบบปฏิบัติการมากกว่าพันล้านคน กว่าปีที่ผ่านมาบริษัทได้ประกาศว่าเป็น การกำจัด Server Message Block เวอร์ชัน 1 (SMB1) ใน Windows 11 Home และในวันนี้ มีการเปิดเผยว่ากำลังมองหาที่จะยุติการรับรองความถูกต้องผู้ใช้ NT LAN Manager (NTLM) แทน Kerberos
ใน โพสต์บล็อกโดยละเอียดMicrosoft อธิบายว่า Kerberos เป็นโปรโตคอลการตรวจสอบความถูกต้องเริ่มต้นบน Windows มานานกว่า 20 ปี แต่ก็ยังล้มเหลวในบางสถานการณ์ ซึ่งกำหนดให้ใช้ NTLM เพื่อจัดการกับกรณี Edge เหล่านี้ บริษัทกำลังพัฒนากลไกทางเลือกใหม่ใน Windows 11 เช่น การรับรองความถูกต้องเริ่มต้นและผ่านโดยใช้ Kerberos (IAKerb) และศูนย์กระจายคีย์ท้องถิ่น (KDC) สำหรับ เคอร์เบรอส
NTLM ยังคงได้รับความนิยมเนื่องจากมีข้อดีหลายประการ เช่น ไม่ต้องใช้เครือข่ายท้องถิ่น เชื่อมต่อกับ Domain Controller (DC) และไม่จำเป็นต้องรู้ตัวตนของเป้าหมาย เซิร์ฟเวอร์ เพื่อพยายามใช้ประโยชน์จากสิทธิประโยชน์เหล่านี้ นักพัฒนาจึงเลือกใช้ความสะดวกสบายและเป็น NTLM แบบฮาร์ดโค้ด ในแอปพลิเคชันและบริการโดยไม่ต้องคำนึงถึงโปรโตคอลที่ปลอดภัยและขยายได้เช่น Kerberos ด้วยซ้ำ อย่างไรก็ตาม เนื่องจาก Kerberos มีข้อจำกัดบางประการในการเพิ่มความปลอดภัย และไม่รวมอยู่ในนั้น แอปพลิเคชันที่มีการรับรองความถูกต้อง NTLM แบบฮาร์ดโค้ด หลายองค์กรไม่สามารถปิดระบบเดิมได้อย่างง่ายดาย มาตรการ.
เพื่อที่จะหลีกเลี่ยงข้อจำกัดของ Kerberos และทำให้เป็นตัวเลือกที่น่าดึงดูดยิ่งขึ้นสำหรับนักพัฒนาและองค์กร Microsoft กำลังสร้างคุณสมบัติใหม่ใน Windows 11 ที่ทำให้โปรโตคอลสมัยใหม่เป็นตัวเลือกที่เหมาะสมสำหรับแอปพลิเคชันและ บริการ
การปรับปรุงแรกคือ IAKerb ซึ่งเป็นส่วนขยายสาธารณะที่อนุญาตการตรวจสอบสิทธิ์กับ DC ผ่านเซิร์ฟเวอร์ซึ่งมีการเข้าถึงโครงสร้างพื้นฐานที่กล่าวมาข้างต้นในระดับสายตา โดยใช้ประโยชน์จากสแต็กการรับรองความถูกต้องของ Windows เพื่อร้องขอพร็อกซี Keberos เพื่อให้แอปพลิเคชันไคลเอ็นต์ไม่จำเป็นต้องมองเห็น DC ข้อความได้รับการเข้ารหัสลับและการรักษาความปลอดภัยแม้ในระหว่างการขนส่ง ซึ่งทำให้ IAKerb เป็นกลไกที่เหมาะสมในสภาพแวดล้อมการตรวจสอบสิทธิ์ระยะไกล
ประการที่สอง เรามี KDC ในเครื่องสำหรับ Kerberos เพื่อรองรับบัญชีในเครื่อง ซึ่งใช้ประโยชน์จากทั้ง IAKerb และ Security Account Manager (SAM) ของเครื่องท้องถิ่นในการส่งข้อความระหว่างเครื่องท้องถิ่นระยะไกลโดยไม่ต้องพึ่งพา DNS, netlogon หรือ DCLocator ที่จริงแล้วไม่จำเป็นต้องเปิดพอร์ตใหม่สำหรับการสื่อสารเช่นกัน สิ่งสำคัญคือต้องทราบว่าการรับส่งข้อมูลจะถูกเข้ารหัสผ่านรหัสบล็อก Advanced Encryption Standard (AES)
ในอีกไม่กี่ระยะถัดไปของการเลิกใช้ NTLM นี้ Microsoft จะแก้ไขส่วนประกอบ Windows ที่มีอยู่ซึ่งฮาร์ดโค้ดเพื่อใช้ NTLM แต่พวกเขาจะใช้ประโยชน์จากโปรโตคอล Negotiate เพื่อให้ได้รับประโยชน์จาก IAKerb และ KDC ในพื้นที่สำหรับ Kerberos NTLM จะยังคงได้รับการสนับสนุนเป็นกลไกทางเลือกต่อไปเพื่อรักษาความเข้ากันได้ที่มีอยู่ ในระหว่างนี้ Microsoft กำลังปรับปรุงการควบคุมการจัดการ NTLM ที่มีอยู่ เพื่อให้องค์กรต่างๆ มองเห็นได้มากขึ้นว่า NTLM เป็นอย่างไรและอยู่ที่ไหน ถูกใช้ภายในโครงสร้างพื้นฐาน และยังช่วยให้สามารถควบคุมการปิดใช้งานโปรโตคอลสำหรับบริการเฉพาะได้ละเอียดยิ่งขึ้น
แน่นอนว่าเป้าหมายสุดท้ายคือการปิดการใช้งาน NTLM ตามค่าเริ่มต้นใน Windows 11 ในที่สุด ตราบใดที่ข้อมูลการวัดและส่งข้อมูลทางไกลรองรับโอกาสนี้ ในตอนนี้ Microsoft ได้สนับสนุนให้องค์กรต่างๆ ตรวจสอบการใช้ NTLM ซึ่งเป็นโค้ดตรวจสอบที่ฮาร์ดโค้ด ใช้โปรโตคอลเดิมนี้ และติดตามการอัปเดตเพิ่มเติมจากบริษัทเทคโนโลยี Redmond เกี่ยวกับเรื่องนี้ หัวข้อ.