Microsoft prévoit de désactiver l'authentification NTLM dans Windows 11

Microsoft a fait une annonce indiquant que le protocole d'authentification NTLM sera désactivé dans Windows 11. Au lieu de cela, il sera remplacé par Kerberos, qui est actuellement le protocole d'authentification par défaut dans les versions Windows supérieures à Windows 2000.

NTLM, qui signifie New Technology LAN Manager, est un ensemble de protocoles utilisés pour authentifier les utilisateurs distants et assurer la sécurité des sessions. Il a souvent été exploité par des attaquants lors d’attaques en relais. Ces attaques impliquent des périphériques réseau vulnérables, notamment des contrôleurs de domaine, qui s'authentifient auprès des serveurs contrôlés par les attaquants. Grâce à ces attaques, les attaquants peuvent élever leurs privilèges et prendre le contrôle total d'un domaine Windows. NTLM est toujours présent sur les serveurs Windows, et les attaquants peuvent exploiter des vulnérabilités comme ShadowCoerce, DFSCoerce, PetitPotam et RemotePotato0, conçus pour contourner les protections contre les relais attaques. De plus, NTLM permet des attaques par transmission de hachage, permettant aux attaquants de s'authentifier en tant qu'utilisateur compromis et d'accéder à des données sensibles.

Pour atténuer ces risques, Microsoft conseille aux administrateurs Windows de désactiver NTLM ou de configurer leurs serveurs pour bloquer les attaques de relais NTLM à l'aide des services de certificats Active Directory.

Actuellement, Microsoft travaille sur deux nouvelles fonctionnalités liées à Kerberos. La première fonctionnalité, IAKerb (authentification initiale et de bout en bout utilisant Kerberos), permet à Windows de transmettre Kerberos messages entre ordinateurs locaux distants sans avoir besoin de services d'entreprise supplémentaires tels que DNS, netlogon ou DCLocalisateur. La deuxième fonctionnalité implique un centre de distribution de clés (KDC) local pour Kerberos, qui étend la prise en charge de Kerberos aux comptes locaux.

En outre, Microsoft prévoit d'améliorer les contrôles NTLM, offrant ainsi aux administrateurs une plus grande flexibilité pour surveiller et restreindre l'utilisation de NTLM dans leurs environnements.

Toutes ces modifications seront activées par défaut et ne nécessiteront pas de configuration pour la plupart des scénarios, comme déclaré par la compagnie. NTLM sera toujours disponible comme option de secours pour maintenir la compatibilité avec les systèmes existants.