Microsoft aikoo poistaa NTLM-todennuksen käytöstä Windows 11:ssä

Microsoft on ilmoittanut, että NTLM-todennusprotokolla poistetaan käytöstä Windows 11:ssä. Sen sijaan se korvataan Kerberosilla, joka on tällä hetkellä oletustodennusprotokolla Windows 2000:n yläpuolella olevissa Windows-versioissa.

NTLM, joka tulee sanoista New Technology LAN Manager, on joukko protokollia, joita käytetään etäkäyttäjien todentamiseen ja istunnon suojauksen tarjoamiseen. Hyökkääjät ovat usein käyttäneet sitä hyväkseen välityshyökkäyksissä. Näihin hyökkäyksiin liittyy haavoittuvia verkkolaitteita, mukaan lukien toimialueen ohjaimet, jotka todennetaan hyökkääjien hallitsemille palvelimille. Näiden hyökkäysten avulla hyökkääjät voivat laajentaa oikeuksiaan ja saada täydellisen hallinnan Windows-toimialueeseen. NTLM on edelleen läsnä Windows-palvelimissa, ja hyökkääjät voivat hyödyntää haavoittuvuuksia, kuten ShadowCoerce, DFSCoerce, PetitPotam ja RemotePotato0, jotka on suunniteltu ohittamaan suojaukset relettä vastaan hyökkäyksiä. Lisäksi NTLM mahdollistaa hash-siirtohyökkäykset, jolloin hyökkääjät voivat todentaa itsensä vaarantuneeksi käyttäjäksi ja päästä käsiksi arkaluonteisiin tietoihin.

Näiden riskien vähentämiseksi Microsoft neuvoo Windows-järjestelmänvalvojia joko poistamaan NTLM: n käytöstä tai määrittämään palvelimensa estämään NTLM-välityshyökkäykset Active Directory -varmennepalveluiden avulla.

Tällä hetkellä Microsoft työstää kahta uutta Kerberokseen liittyvää ominaisuutta. Ensimmäinen ominaisuus, IAKerb (alkuperäinen ja päästä päähän -todennus Kerberosilla), sallii Windowsin lähettää Kerberos viestejä paikallisten etätietokoneiden välillä ilman, että tarvitaan yrityspalveluita, kuten DNS, netlogon tai DClocator. Toinen ominaisuus sisältää Kerberosin paikallisen Key Distribution Centerin (KDC), joka laajentaa Kerberos-tuen paikallisille tileille.

Lisäksi Microsoft aikoo parantaa NTLM-hallintaa, mikä antaa järjestelmänvalvojille enemmän joustavuutta valvoa ja rajoittaa NTLM: n käyttöä ympäristöissään.

Kaikki nämä muutokset otetaan oletusarvoisesti käyttöön, eivätkä ne vaadi konfigurointia useimmissa skenaarioissa, kuten totesi yrityksen toimesta. NTLM on edelleen saatavilla varavaihtoehtona yhteensopivuuden säilyttämiseksi olemassa olevien järjestelmien kanssa.