Microsoft, Windows'tan NTLM kimlik doğrulamasını kaldırmak istiyor

Microsoft, yeni geri dönüş mekanizmalarıyla Windows 11'deki NTLM kimlik doğrulamasını Kerberos lehine aşamalı olarak kaldırma niyetini ifade etti.

Temel Çıkarımlar

  • Microsoft, güvenliği artırmak için Windows 11'de NT LAN Manager (NTLM) kullanıcı kimlik doğrulamasını Kerberos lehine aşamalı olarak kaldırıyor.
  • Şirket, protokoldeki sınırlamaları ele almak amacıyla IAKerb ve Kerberos için yerel bir Anahtar Dağıtım Merkezi (KDC) gibi yeni geri dönüş mekanizmaları geliştiriyor.
  • Microsoft, Windows 11'de NTLM'yi varsayılan olarak devre dışı bırakmak amacıyla NTLM yönetim denetimlerini geliştiriyor ve Windows bileşenlerini Negotiate protokolünü kullanacak şekilde değiştiriyor.

Güvenlik ön planda Windows söz konusu olduğunda Microsoft için, işletim sisteminin bir milyardan fazla kullanıcı tarafından kullanılması bekleniyor. Bir yıldan fazla bir süre önce şirket şunu duyurdu: Sunucu Mesaj Bloğu sürüm 1'den (SMB1) kurtulma Windows 11 Home'da ve bugün, NT LAN Manager (NTLM) kullanıcı kimlik doğrulamasını Kerberos lehine aşamalı olarak kaldırmanın yollarını araştırdığı ortaya çıktı.

İçinde ayrıntılı blog yazısıMicrosoft, Kerberos'un 20 yılı aşkın süredir Windows'ta varsayılan kimlik doğrulama protokolü olduğunu ancak bazı senaryolarda hala başarısız olduğunu ve bunun da NTLM kullanımını zorunlu kıldığını açıkladı. Bu uç durumların üstesinden gelmek için firma, Windows 11'de aşağıdaki gibi yeni geri dönüş mekanizmaları geliştiriyor: Kerberos (IAKerb) ve yerel bir Anahtar Dağıtım Merkezi (KDC) Kullanarak İlk ve Geçişli Kimlik Doğrulaması Kerberos.

NTLM hala popüler çünkü yerel ağ gerektirmemesi gibi birçok avantaja sahip Etki Alanı Denetleyicisine (DC) bağlantı ve hedefin kimliğini bilmenin gerekmemesi sunucu. Geliştiriciler bunun gibi avantajlardan yararlanmak amacıyla kolaylık sağlamayı tercih ediyor ve NTLM'yi sabit kodluyorlar Kerberos gibi daha güvenli ve genişletilebilir protokolleri bile dikkate almadan uygulamalarda ve hizmetlerde. Ancak Kerberos'un güvenliği artırmaya yönelik bazı sınırlamaları olduğundan bu durum hesaba katılmaz. NTLM kimlik doğrulaması sabit kodlu uygulamalara sahip olduğundan, çoğu kuruluş eski sürümü kolayca kapatamaz protokol.

Kerberos'un sınırlamalarını aşmak ve onu geliştiriciler ve kuruluşlar için daha cazip bir seçenek haline getirmek amacıyla, Microsoft, Windows 11'de modern protokolü uygulamalar ve uygulamalar için uygun bir seçenek haline getiren yeni özellikler geliştiriyor. Hizmetler.

İlk geliştirme, yukarıda bahsedilen altyapıya görüş hattı erişimi olan bir sunucu aracılığıyla bir DC ile kimlik doğrulamaya izin veren genel bir uzantı olan IAKerb'dir. İstemci uygulamasının DC'ye görünürlük gerektirmemesi için Keberos isteklerine proxy sağlamak için Windows kimlik doğrulama yığınından yararlanır. Mesajlar aktarım sırasında bile kriptografik olarak şifrelenir ve korunur; bu da IAKerb'i uzaktan kimlik doğrulama ortamlarında uygun bir mekanizma haline getirir.

İkinci olarak, Kerberos'un yerel hesapları desteklemesi için yerel bir KDC'miz var. Bu, DNS'ye, netlogon'a veya DCLocator'a bağlı kalmadan uzaktaki yerel makineler arasında mesaj iletmek için hem IAKerb'den hem de yerel makinenin Güvenlik Hesap Yöneticisinden (SAM) yararlanır. Aslında iletişim için yeni bir port açılmasına da gerek yok. Trafiğin Gelişmiş Şifreleme Standardı (AES) blok şifresi aracılığıyla şifrelendiğini unutmamak önemlidir.

NTLM'nin kullanımdan kaldırılmasının sonraki birkaç aşamasında Microsoft, NTLM'yi kullanmak üzere sabit kodlanmış mevcut Windows bileşenlerini de değiştirecektir. Bunun yerine, IAKerb'den ve Kerberos için yerel KDC'den yararlanabilmek amacıyla Negotiate protokolünü kullanacaklar. NTLM, mevcut uyumluluğu sürdürmek için bir geri dönüş mekanizması olarak desteklenmeye devam edecektir. Bu arada Microsoft, kuruluşlara NTLM'nin nerede ve nasıl olduğu konusunda daha fazla görünürlük sağlamak için mevcut NTLM yönetim kontrollerini geliştiriyor. altyapılarında kullanılıyor ve aynı zamanda belirli bir hizmet için protokolün devre dışı bırakılması konusunda daha ayrıntılı kontrol sahibi olmalarına olanak tanıyor.

Elbette nihai hedef, telemetri verileri bu fırsatı desteklediği sürece Windows 11'de NTLM'yi varsayılan olarak devre dışı bırakmaktır. Microsoft şimdilik kuruluşları, veri tabanını sabit kodlayan denetim kodu olan NTLM kullanımını izlemeye teşvik ediyor. Bu eski protokolü kullanın ve Redmond teknoloji firmasının bununla ilgili diğer güncellemelerini takip edin başlık.