Microsoft planea deshabilitar la autenticación NTLM en Windows 11

Microsoft ha hecho un anuncio indicando que el protocolo de autenticación NTLM estará deshabilitado en Windows 11. En cambio, será reemplazado por Kerberos, que actualmente es el protocolo de autenticación predeterminado en las versiones de Windows superiores a Windows 2000.

NTLM, que significa New Technology LAN Manager, es un conjunto de protocolos utilizados para autenticar usuarios remotos y proporcionar seguridad de sesión. A menudo ha sido explotado por atacantes en ataques de retransmisión. Estos ataques involucran dispositivos de red vulnerables, incluidos controladores de dominio, que se autentican en servidores controlados por los atacantes. A través de estos ataques, los atacantes pueden aumentar sus privilegios y obtener control total sobre un dominio de Windows. NTLM todavía está presente en los servidores de Windows y los atacantes pueden aprovechar vulnerabilidades como ShadowCoerce, DFSCoerce, PetitPotam y RemotePotato0, que están diseñados para evitar protecciones contra relés. ataques. Además, NTLM permite ataques de transmisión hash, lo que permite a los atacantes autenticarse como usuarios comprometidos y acceder a datos confidenciales.

Para mitigar estos riesgos, Microsoft recomienda a los administradores de Windows que deshabiliten NTLM o configuren sus servidores para bloquear ataques de retransmisión NTLM mediante los servicios de certificados de Active Directory.

Actualmente, Microsoft está trabajando en dos nuevas funciones relacionadas con Kerberos. La primera característica, IAKerb (autenticación inicial y de extremo a extremo usando Kerberos), permite a Windows transmitir Kerberos mensajes entre computadoras locales remotas sin la necesidad de servicios empresariales adicionales como DNS, netlogon o Localizador DC. La segunda característica implica un Centro de distribución de claves (KDC) local para Kerberos, que amplía el soporte de Kerberos a las cuentas locales.

Además, Microsoft planea mejorar los controles NTLM, otorgando a los administradores una mayor flexibilidad para monitorear y restringir el uso de NTLM en sus entornos.

Todos estos cambios estarán habilitados de forma predeterminada y no requerirán configuración para la mayoría de los escenarios, como fijado por la compañía. NTLM seguirá estando disponible como opción alternativa para mantener la compatibilidad con los sistemas existentes.