Microsoft планира да деактивира NTLM удостоверяването в Windows 11

Microsoft направи съобщение, че протоколът за удостоверяване NTLM ще бъде деактивиран в Windows 11. Вместо това той ще бъде заменен от Kerberos, който в момента е протоколът за удостоверяване по подразбиране във версии на Windows над Windows 2000.

NTLM, което означава New Technology LAN Manager, е набор от протоколи, използвани за удостоверяване на отдалечени потребители и осигуряване на сигурност на сесията. Често е бил експлоатиран от нападатели при релейни атаки. Тези атаки включват уязвими мрежови устройства, включително домейн контролери, удостоверяващи се към сървъри, контролирани от нападателите. Чрез тези атаки нападателите могат да ескалират привилегиите си и да получат пълен контрол върху Windows домейн. NTLM все още присъства на Windows сървъри и нападателите могат да използват уязвимости като ShadowCoerce, DFSCoerce, PetitPotam и RemotePotato0, които са проектирани да заобикалят защити срещу реле атаки. Освен това NTLM позволява атаки за хеш предаване, което позволява на нападателите да се удостоверят като компрометиран потребител и да имат достъп до чувствителни данни.

За да смекчи тези рискове, Microsoft съветва администраторите на Windows или да деактивират NTLM, или да конфигурират сървърите си да блокират NTLM релейни атаки, използвайки услугите за сертификати на Active Directory.

В момента Microsoft работи върху две нови функции, свързани с Kerberos. Първата функция, IAKerb (първоначално удостоверяване и удостоверяване от край до край с помощта на Kerberos), позволява на Windows да предава Kerberos съобщения между отдалечени локални компютри без необходимост от допълнителни корпоративни услуги като DNS, netlogon или DCLocator. Втората функция включва локален център за разпределение на ключове (KDC) за Kerberos, който разширява поддръжката на Kerberos до локални акаунти.

Освен това Microsoft планира да подобри NTLM контролите, предоставяйки на администраторите по-голяма гъвкавост за наблюдение и ограничаване на използването на NTLM в техните среди.

Всички тези промени ще бъдат активирани по подразбиране и няма да изискват конфигурация за повечето сценарии, като заяви от компанията. NTLM все още ще бъде наличен като резервна опция за поддържане на съвместимост със съществуващите системи.