Microsoft planlægger at deaktivere NTLM-godkendelse i Windows 11

Microsoft har udsendt en meddelelse om, at NTLM-godkendelsesprotokollen vil blive deaktiveret i Windows 11. I stedet vil den blive erstattet af Kerberos, som i øjeblikket er standardgodkendelsesprotokol i Windows-versioner over Windows 2000.

NTLM, som står for New Technology LAN Manager, er et sæt protokoller, der bruges til at godkende fjernbrugere og give sessionssikkerhed. Det er ofte blevet udnyttet af angribere i relæangreb. Disse angreb involverer sårbare netværksenheder, herunder domænecontrollere, der autentificerer til servere, der kontrolleres af angriberne. Gennem disse angreb kan angriberne eskalere deres privilegier og få fuldstændig kontrol over et Windows-domæne. NTLM er stadig til stede på Windows-servere, og angribere kan udnytte sårbarheder som ShadowCoerce, DFSCoerce, PetitPotam og RemotePotato0, som er designet til at omgå beskyttelse mod relæ angreb. Derudover tillader NTLM hash-transmissionsangreb, hvilket gør det muligt for angribere at autentificere sig selv som en kompromitteret bruger og få adgang til følsomme data.

For at afbøde disse risici råder Microsoft Windows-administratorer til enten at deaktivere NTLM eller konfigurere deres servere til at blokere NTLM-relæangreb ved hjælp af Active Directory Certificate Services.

I øjeblikket arbejder Microsoft på to nye funktioner relateret til Kerberos. Den første funktion, IAKerb (indledende og ende-til-ende-godkendelse ved hjælp af Kerberos), tillader Windows at overføre Kerberos beskeder mellem lokale fjerncomputere uden behov for yderligere virksomhedstjenester såsom DNS, netlogon eller DCLocator. Den anden funktion involverer et lokalt nøgledistributionscenter (KDC) til Kerberos, som udvider Kerberos-understøttelsen til lokale konti.

Desuden planlægger Microsoft at forbedre NTLM-kontroller, hvilket giver administratorer større fleksibilitet til at overvåge og begrænse brugen af ​​NTLM i deres miljøer.

Alle disse ændringer vil være aktiveret som standard og kræver ikke konfiguration for de fleste scenarier, f.eks anført af virksomheden. NTLM vil stadig være tilgængelig som en reservemulighed for at opretholde kompatibilitet med eksisterende systemer.