Корпорація Майкрософт висловила намір поступово відмовитися від автентифікації NTLM у Windows 11 на користь Kerberos із запровадженням нових резервних механізмів.
Ключові висновки
- Microsoft поступово відмовляється від автентифікації користувачів NT LAN Manager (NTLM) на користь Kerberos у Windows 11 для підвищення безпеки.
- Компанія розробляє нові запасні механізми, такі як IAKerb і локальний центр розподілу ключів (KDC) для Kerberos, щоб усунути обмеження в протоколі.
- Корпорація Майкрософт вдосконалює засоби керування NTLM і модифікує компоненти Windows для використання протоколу Negotiate, щоб остаточно вимкнути NTLM за замовчуванням у Windows 11.
Безпека на першому плані для Microsoft, коли мова заходить про Windows, яка очікується, оскільки її операційною системою користуються понад мільярд користувачів. Більше року тому компанія оголосила, що це так видалення блоку повідомлень сервера версії 1 (SMB1) у Windows 11 Home, і сьогодні вона виявила, що планує поступово відмовитися від автентифікації користувачів NT LAN Manager (NTLM) на користь Kerberos.
В детальна публікація в блозіMicrosoft пояснила, що Kerberos є протоколом автентифікації за замовчуванням у Windows понад 20 років, але він усе ще не працює в деяких сценаріях, що вимагає обов’язкового використання NTLM. Щоб вирішити ці проблеми, фірма розробляє нові запасні механізми в Windows 11, наприклад Початкова та наскрізна автентифікація за допомогою Kerberos (IAKerb) і локального центру розповсюдження ключів (KDC) для Kerberos.
NTLM все ще популярний, оскільки має численні переваги, наприклад відсутність потреби в локальній мережі підключення до контролера домену (DC) і не вимагається знати ідентифікаційну особу цілі сервер. У спробі отримати подібні переваги розробники вибирають зручність і жорстко кодують NTLM у програмах і службах, навіть не розглядаючи більш безпечні та розширювані протоколи, такі як Kerberos. Однак, оскільки Kerberos має певні обмеження для підвищення безпеки, це не враховано в програми, які мають жорстко закодовану автентифікацію NTLM, багато організацій не можуть просто вимкнути застарілу версію протокол.
Щоб обійти обмеження Kerberos і зробити його більш привабливим варіантом для розробників і організацій, Microsoft створює нові функції в Windows 11, які роблять сучасний протокол життєздатним варіантом для програм і послуги.
Першим удосконаленням є IAKerb, яке є загальнодоступним розширенням, яке дозволяє автентифікацію за допомогою DC через сервер, який має доступ прямої видимості до вищезгаданої інфраструктури. Він використовує стек автентифікації Windows для проксі-запитів Keberos, щоб клієнтська програма не потребувала видимості для DC. Повідомлення криптографічно зашифровані та захищені навіть під час передачі, що робить IAKerb придатним механізмом у віддалених середовищах автентифікації.
По-друге, у нас є локальний KDC для Kerberos для підтримки локальних облікових записів. Це використовує як IAKerb, так і диспетчер облікових записів безпеки локальної машини (SAM) для передачі повідомлень між віддаленими локальними машинами без необхідності залежати від DNS, netlogon або DCLocator. Насправді це також не вимагає відкриття жодного нового порту для зв’язку. Важливо зауважити, що трафік шифрується за допомогою блокового шифру Advanced Encryption Standard (AES).
Протягом кількох наступних етапів припинення підтримки NTLM Microsoft також модифікує існуючі компоненти Windows, які жорстко запрограмовані для використання NTLM. Натомість вони використовуватимуть протокол Negotiate, щоб отримати вигоду від IAKerb і локального KDC для Kerberos. NTLM і надалі підтримуватиметься як резервний механізм для підтримки існуючої сумісності. Тим часом корпорація Майкрософт вдосконалює існуючі засоби керування NTLM, щоб надати організаціям більше інформації про те, де та як працює NTLM. використовуються в їхній інфраструктурі, що також дозволяє їм більш детально контролювати відключення протоколу для певної служби.
Звичайно, кінцева мета — остаточно вимкнути NTLM за замовчуванням у Windows 11, якщо дані телеметрії підтримують цю можливість. Наразі Microsoft заохочує організації контролювати використання ними NTLM, коду аудиту, який жорстко кодує використання цього застарілого протоколу та відстежуйте подальші оновлення від технічної фірми Redmond щодо цього тема.