Microsoft plánuje zakázat ověřování NTLM ve Windows 11

Společnost Microsoft oznámila, že ověřovací protokol NTLM bude ve Windows 11 zakázán. Místo toho bude nahrazen protokolem Kerberos, který je v současné době výchozím ověřovacím protokolem ve verzích Windows vyšších než Windows 2000.

NTLM, což je zkratka pro New Technology LAN Manager, je sada protokolů používaných pro ověřování vzdálených uživatelů a poskytování zabezpečení relace. Útočníci jej často zneužívali při přenosových útocích. Tyto útoky zahrnují zranitelná síťová zařízení, včetně řadičů domény, která se ověřují na serverech ovládaných útočníky. Prostřednictvím těchto útoků mohou útočníci eskalovat svá oprávnění a získat úplnou kontrolu nad doménou Windows. NTLM je stále přítomen na serverech Windows a útočníci mohou zneužít zranitelnosti, jako je ShadowCoerce, DFSCoerce, PetitPotam a RemotePotato0, které jsou navrženy tak, aby obcházely ochrany proti relé útoky. NTLM navíc umožňuje útoky přenosu hash, což útočníkům umožňuje ověřit se jako kompromitovaný uživatel a získat přístup k citlivým datům.

Ke zmírnění těchto rizik Microsoft radí správcům Windows, aby buď zakázali NTLM, nebo nakonfigurovali své servery tak, aby blokovaly útoky přenosu NTLM pomocí služby Active Directory Certificate Services.

V současné době Microsoft pracuje na dvou nových funkcích souvisejících s Kerberos. První funkce, IAKerb (počáteční a end-to-end ověřování pomocí Kerberos), umožňuje Windows přenášet Kerberos zpráv mezi vzdálenými lokálními počítači bez nutnosti dalších podnikových služeb jako DNS, netlogon, popř DClocator. Druhá funkce zahrnuje místní centrum distribuce klíčů (KDC) pro Kerberos, které rozšiřuje podporu Kerberos na místní účty.

Kromě toho společnost Microsoft plánuje zlepšit ovládací prvky NTLM a poskytnout správcům větší flexibilitu při sledování a omezení používání NTLM v jejich prostředích.

Všechny tyto změny budou ve výchozím nastavení povoleny a pro většinu scénářů nebudou vyžadovat konfiguraci stanovený společností. NTLM bude stále k dispozici jako záložní možnost pro zachování kompatibility se stávajícími systémy.