Η Microsoft σχεδιάζει να απενεργοποιήσει τον έλεγχο ταυτότητας NTLM στα Windows 11

Η Microsoft έχει κάνει μια ανακοίνωση δηλώνοντας ότι το πρωτόκολλο ελέγχου ταυτότητας NTLM θα απενεργοποιηθεί στα Windows 11. Αντίθετα, θα αντικατασταθεί από το Kerberos, το οποίο είναι επί του παρόντος το προεπιλεγμένο πρωτόκολλο ελέγχου ταυτότητας στις εκδόσεις των Windows πάνω από τα Windows 2000.

NTLM, που σημαίνει New Technology LAN Manager, είναι ένα σύνολο πρωτοκόλλων που χρησιμοποιούνται για τον έλεγχο ταυτότητας απομακρυσμένων χρηστών και την παροχή ασφάλειας περιόδου λειτουργίας. Συχνά έχει γίνει αντικείμενο εκμετάλλευσης από επιτιθέμενους σε επιθέσεις αναμετάδοσης. Αυτές οι επιθέσεις περιλαμβάνουν ευάλωτες συσκευές δικτύου, συμπεριλαμβανομένων ελεγκτών τομέα, που ελέγχουν ταυτότητα σε διακομιστές που ελέγχονται από τους εισβολείς. Μέσω αυτών των επιθέσεων, οι εισβολείς μπορούν να κλιμακώσουν τα προνόμιά τους και να αποκτήσουν τον πλήρη έλεγχο ενός τομέα των Windows. Το NTLM εξακολουθεί να υπάρχει στους διακομιστές των Windows και οι εισβολείς μπορούν να εκμεταλλευτούν τρωτά σημεία όπως το ShadowCoerce, DFSCoerce, PetitPotam και RemotePotato0, τα οποία έχουν σχεδιαστεί για να παρακάμπτουν τις προστασίες έναντι του ρελέ επιθέσεις. Επιπλέον, το NTLM επιτρέπει επιθέσεις μετάδοσης κατακερματισμού, επιτρέποντας στους εισβολείς να πιστοποιούν την ταυτότητα τους ως παραβιασμένος χρήστης και να έχουν πρόσβαση σε ευαίσθητα δεδομένα.

Για να μετριάσει αυτούς τους κινδύνους, η Microsoft συμβουλεύει τους διαχειριστές των Windows είτε να απενεργοποιήσουν το NTLM είτε να ρυθμίσουν τους διακομιστές τους ώστε να αποκλείουν τις επιθέσεις αναμετάδοσης NTLM χρησιμοποιώντας τις υπηρεσίες πιστοποιητικών Active Directory.

Επί του παρόντος, η Microsoft εργάζεται σε δύο νέες δυνατότητες που σχετίζονται με το Kerberos. Το πρώτο χαρακτηριστικό, το IAKerb (αρχικός και από άκρο σε άκρο έλεγχος ταυτότητας με χρήση Kerberos), επιτρέπει στα Windows να μεταδίδουν το Kerberos μηνύματα μεταξύ απομακρυσμένων τοπικών υπολογιστών χωρίς την ανάγκη πρόσθετων εταιρικών υπηρεσιών όπως DNS, netlogon ή DCLocator. Η δεύτερη δυνατότητα περιλαμβάνει ένα τοπικό Κέντρο διανομής κλειδιών (KDC) για το Kerberos, το οποίο επεκτείνει την υποστήριξη Kerberos σε τοπικούς λογαριασμούς.

Επιπλέον, η Microsoft σχεδιάζει να βελτιώσει τα στοιχεία ελέγχου NTLM, παρέχοντας στους διαχειριστές μεγαλύτερη ευελιξία να παρακολουθούν και να περιορίζουν τη χρήση του NTLM στα περιβάλλοντά τους.

Όλες αυτές οι αλλαγές θα είναι ενεργοποιημένες από προεπιλογή και δεν θα απαιτούν διαμόρφωση για τα περισσότερα σενάρια, όπως δηλωθείς από την εταιρεία. Το NTLM θα εξακολουθεί να είναι διαθέσιμο ως εναλλακτική επιλογή για τη διατήρηση της συμβατότητας με τα υπάρχοντα συστήματα.