На этой неделе компания Microsoft подтвердила свои планы по отказу от NT LAN Manager (NTLM). Так, в Windows 11 отказ запланирован уже на вторую половину текущего года. Также компания анонсировала ряд новых защитных мер, направленных на усиление безопасности ОС.
Напомним, что Microsoft впервые объявила о своем решении отказаться от NTLM в пользу Kerberos в октябре 2023 года.
Дело в том, что NTLM представляет собой созданное еще в 90-х семейство протоколов, используемых для аутентификации удаленных пользователей и обеспечения безопасности сеансов. Kerberos — протокол аутентификации, много лет назад пришедший на смену NTLM, теперь является протоколом аутентификации по умолчанию во всех версиях Windows новее Windows 2000. Однако NTLM тоже применяется по сей день, и если по какой-либо причине работа Kerberos невозможна, вместо него будет использован NTLM.
При том различные NTLM-атаки – большая проблема, с которой Microsoft старается бороться, NTLM по-прежнему часто используется на серверах Windows, что позволяет хакерам успешно эксплуатировать такие уязвимости, как ShadowCoerce, PetitPotam, RemotePotato0 и так далее.
С 2010 года Microsoft призывает разработчиков отказаться от NTLM в своих приложениях и советует администраторам либо отключать NTLM вовсе, либо настраивать свои серверы для блокировки атак NTLM relay с помощью Active Directory Certificate Services (AD CS).
«Отказ от NTLM был большой просьбой со стороны ИБ-сообщества, поскольку это позволит усилить аутентификацию пользователей. Отказ от NTLM запланирован на вторую половину 2024 года», — заявили теперь в компании.
Среди прочих изменений в Windows 11 можно отметить:
- активацию защиты Local Security Authority (LSA) по умолчанию для всех новых потребительских устройств;
- использование безопасности на основе виртуализации (VBS) для защиты Windows Hello;
- систему Smart App Control, защищающую пользователей от запуска недоверенных или неподписанных приложений, теперь оснастят ИИ, который поможет определять безопасность приложений и блокировать неизвестные или содержащие вредоносное ПО;
- дополнение к Smart App Control -- новое комплексное решение Trusted Signing, позволяющее разработчикам подписывать свои приложения и в целом упрощающее процесс подписания.
Также Microsoft рассказала и о других улучшениях в области безопасности. Например, изоляции приложений Win32, которая предназначена для предотвращения рисков в случае компрометации приложения и создания барьера между приложением и операционной системой.
Также сообщается, что будут ограничены злоупотребления привилегиями администратора, так как у пользователей станут запрашивать для этого явное разрешение. Появятся и VBS-анклавы для сторонних разработчиков, предназначенные для создания доверенных сред выполнения.
Кроме того, Microsoft заявила, что в будущем режимом печати по умолчанию станет Windows Protected Print Mode (WPP), который был представлен в декабре 2023 года. Он будет использоваться для борьбы с рисками, которые создает привилегированный процесс Spooler, а также для защиты стека печати.
Идея заключается в том, чтобы запускать Print Spooler как ограниченную службу и резко снизить его привлекательность для злоумышленников, которые зачастую злоупотребляют им для получения повышенных привилегий в Windows.
Также сообщается, что компания перестанет доверять аутентификационным TLS-сертификатам серверов с ключами RSA менее 2048 бит из-за «прогресса в вычислительной мощности и криптоанализе».
Завершает список новых функций система Zero Trust Domain Name System (ZTDNS), которая призвана помочь коммерческим клиентам изолировать Windows в своих сетях, ограничивая устройства под управлением ОС подключением только к утвержденным адресам по доменному имени.
