На этой неделе компания Microsoft подтвердила свои планы по отказу от NT LAN Manager (NTLM). Так, в Windows 11 отказ запланирован уже на вторую половину текущего года. Также компания анонсировала  ряд новых защитных мер, направленных на усиление безопасности ОС.

Напомним, что Microsoft впервые объявила о своем решении отказаться от NTLM в пользу Kerberos в октябре 2023 года.

Дело в том, что NTLM представляет собой созданное еще в 90-х семейство протоколов, используемых для аутентификации удаленных пользователей и обеспечения безопасности сеансов. Kerberos — протокол аутентификации, много лет назад пришедший на смену NTLM, теперь является протоколом аутентификации по умолчанию во всех версиях Windows новее Windows 2000. Однако NTLM тоже применяется по сей день, и если по какой-либо причине работа Kerberos невозможна, вместо него будет использован NTLM.

При том различные NTLM-атаки – большая проблема, с которой Microsoft старается бороться,  NTLM по-прежнему часто используется на серверах Windows, что позволяет хакерам успешно эксплуатировать такие уязвимости, как ShadowCoercePetitPotam, RemotePotato0 и так далее.

С 2010 года Microsoft призывает разработчиков отказаться от NTLM в своих приложениях и советует администраторам либо отключать NTLM вовсе, либо настраивать свои серверы для блокировки атак NTLM relay с помощью Active Directory Certificate Services (AD CS).

«Отказ от NTLM был большой просьбой со стороны ИБ-сообщества, поскольку это позволит усилить аутентификацию пользователей. Отказ от NTLM запланирован на вторую половину 2024 года», — заявили теперь в компании.

Среди прочих изменений в Windows 11 можно отметить:

  • активацию защиты Local Security Authority (LSA) по умолчанию для всех новых потребительских устройств;
  • использование безопасности на основе виртуализации (VBS) для защиты Windows Hello;
  • систему Smart App Control, защищающую пользователей от запуска недоверенных или неподписанных приложений, теперь оснастят ИИ, который поможет определять безопасность приложений и блокировать неизвестные или содержащие вредоносное ПО;
  • дополнение к Smart App Control -- новое комплексное решение Trusted Signing, позволяющее разработчикам подписывать свои приложения и в целом упрощающее процесс подписания.

Также Microsoft рассказала и о других улучшениях в области безопасности. Например, изоляции приложений Win32, которая предназначена для предотвращения рисков в случае компрометации приложения и создания барьера между приложением и операционной системой.

Также сообщается, что будут ограничены злоупотребления привилегиями администратора, так как у пользователей станут запрашивать для этого явное разрешение. Появятся и VBS-анклавы для сторонних разработчиков, предназначенные для создания доверенных сред выполнения.

Кроме того, Microsoft заявила, что в будущем режимом печати по умолчанию станет Windows Protected Print Mode (WPP), который был представлен в декабре 2023 года. Он будет использоваться для борьбы с рисками, которые создает привилегированный процесс Spooler, а также для защиты стека печати.

Идея заключается в том, чтобы запускать Print Spooler как ограниченную службу и резко снизить его привлекательность для злоумышленников, которые зачастую злоупотребляют им для получения повышенных привилегий в Windows.

Также сообщается, что компания перестанет доверять аутентификационным TLS-сертификатам серверов с ключами RSA менее 2048 бит из-за «прогресса в вычислительной мощности и криптоанализе».

Завершает список новых функций система Zero Trust Domain Name System (ZTDNS), которая призвана помочь коммерческим клиентам изолировать Windows в своих сетях, ограничивая устройства под управлением ОС подключением только к утвержденным адресам по доменному имени.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии