Microsoft plant, die NTLM-Authentifizierung in Windows 11 zu deaktivieren

Microsoft hat angekündigt, dass das NTLM-Authentifizierungsprotokoll in Windows 11 deaktiviert wird. Stattdessen wird es durch Kerberos ersetzt, das derzeit das Standardauthentifizierungsprotokoll in Windows-Versionen über Windows 2000 ist.

NTLM, was für New Technology LAN Manager steht, ist eine Reihe von Protokollen, die zur Authentifizierung von Remote-Benutzern und zur Bereitstellung von Sitzungssicherheit verwendet werden. Es wurde oft von Angreifern bei Relay-Angriffen ausgenutzt. Bei diesen Angriffen sind anfällige Netzwerkgeräte, einschließlich Domänencontroller, beteiligt, die sich bei von den Angreifern kontrollierten Servern authentifizieren. Durch diese Angriffe können die Angreifer ihre Berechtigungen erweitern und die vollständige Kontrolle über eine Windows-Domäne erlangen. NTLM ist immer noch auf Windows-Servern vorhanden und Angreifer können Schwachstellen wie ShadowCoerce ausnutzen. DFSCoerce, PetitPotam und RemotePotato0, die den Relay-Schutz umgehen sollen Anschläge. Darüber hinaus ermöglicht NTLM Hash-Übertragungsangriffe, die es Angreifern ermöglichen, sich als kompromittierter Benutzer zu authentifizieren und auf sensible Daten zuzugreifen.

Um diese Risiken zu mindern, empfiehlt Microsoft Windows-Administratoren, entweder NTLM zu deaktivieren oder ihre Server so zu konfigurieren, dass NTLM-Relay-Angriffe mithilfe von Active Directory-Zertifikatdiensten blockiert werden.

Derzeit arbeitet Microsoft an zwei neuen Funktionen im Zusammenhang mit Kerberos. Die erste Funktion, IAKerb (anfängliche und End-to-End-Authentifizierung mit Kerberos), ermöglicht Windows die Übertragung von Kerberos Nachrichten zwischen entfernten lokalen Computern, ohne dass zusätzliche Unternehmensdienste wie DNS, Netlogon usw. erforderlich sind DCLocator. Die zweite Funktion umfasst ein lokales Key Distribution Center (KDC) für Kerberos, das die Kerberos-Unterstützung auf lokale Konten erweitert.

Darüber hinaus plant Microsoft, die NTLM-Kontrollen zu verbessern, um Administratoren mehr Flexibilität bei der Überwachung und Einschränkung der Nutzung von NTLM in ihren Umgebungen zu geben.

Alle diese Änderungen sind standardmäßig aktiviert und erfordern in den meisten Szenarien keine Konfiguration angegeben von der Firma. NTLM wird weiterhin als Fallback-Option verfügbar sein, um die Kompatibilität mit bestehenden Systemen aufrechtzuerhalten.