Компания Microsoft анонсировала, что в будущем NTLM (New Technology LAN Manager) будет отключен в Windows 11, поскольку компания переходит на альтернативные методы аутентификации и повышения безопасности. Теперь основной упор будет сделан на усиление протокола Kerberos.

NTLM представляет собой созданное в 90-х семейство протоколов, используемых для аутентификации удаленных пользователей и обеспечения безопасности сеансов. Kerberos, другой протокол аутентификации, много лет назад пришедший на смену NTLM, который теперь является протоколом аутентификации по умолчанию во всех версиях Windows новее Windows 2000. Тем не менее, NTLM тоже применяется по сей день, и если по какой-либо причине работа Kerberos невозможна, вместо него будет использован NTLM.

Хотя различные NTLM-атаки – большая проблема, с которой Microsoft старается бороться, NTLM по-прежнему часто используется на серверах Windows, что позволяет хакерам успешно эксплуатировать такие уязвимости, как ShadowCoercePetitPotam, RemotePotato0 и так далее.

С 2010 года Microsoft призывает разработчиков отказаться от NTLM в своих приложениях и советует администраторам либо отключать NTLM вовсе, либо настраивать свои серверы для блокировки атак NTLM relay с помощью Active Directory Certificate Services (AD CS).

Теперь же инженеры компании сообщили, что работают над двумя новыми функциями Kerberos: IAKerb (изначальная и сквозная аутентификация с использованием Kerberos) и Local KDC (локальный центр распределения ключей), которые будут поощрять использование Kerberos вместо NTLM.

«Local KDC для Kerberos строится поверх Security Account Manage локальной машины, поэтому удаленная аутентификация локальных учетных записей пользователей может осуществляться с помощью Kerberos.

При этом используется IAKerb, позволяющий Windows передавать сообщения Kerberos между удаленными локальными машинами без необходимости добавления поддержки других корпоративных служб, таких как DNS, netlogon или DCLocator. IAKerb также не требует открытия новых портов на удаленной машине для приема сообщений Kerberos», — сообщают в компании.

Microsoft намерена внедрить две эти новые функции в Windows 11, чтобы расширить применение Kerberos и решить две серьезные проблемы. Так, функция IAKerb позволит клиентам аутентифицироваться с помощью Kerberos в более широком диапазоне сетевых топологий. А вторая функция добавит локальный KDC для Kerberos, который расширит поддержку Kerberos на локальные учетные записи.

Кроме того, компания планирует расширить возможности управления NTLM, что позволит администраторам более гибко контролировать и ограничивать использование NTLM.

«Все эти изменения будут включены по умолчанию и в большинстве случаев не потребуют отдельной настройки. NTLM по-прежнему будет доступен в качестве запасного варианта для поддержания существующих совместимостей», — обещают разработчики.

При этом точных дат полного отключения NTLM пока не называют. В Microsoft считают, что «сокращение использования NTLM в конечном итоге приведет к его отключению в Windows 11». В настоящее время разработчики  внимательно наблюдают за снижением использования NTLM, чтобы определить момент, когда его можно будет отключить окончательно.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии