Microsoft planira onemogućiti NTLM autentifikaciju u sustavu Windows 11
Microsoft je objavio da će NTLM protokol provjere autentičnosti biti onemogućen u sustavu Windows 11. Umjesto toga, zamijenit će ga Kerberos, koji je trenutno zadani protokol provjere autentičnosti u verzijama sustava Windows iznad Windows 2000.
NTLM, što je kratica za New Technology LAN Manager, skup je protokola koji se koriste za autentifikaciju udaljenih korisnika i pružanje sigurnosti sesije. Napadači su ga često iskorištavali u relejnim napadima. Ovi napadi uključuju ranjive mrežne uređaje, uključujući kontrolere domena, autentifikaciju na poslužiteljima koje kontroliraju napadači. Ovim napadima napadači mogu eskalirati svoje privilegije i steći potpunu kontrolu nad Windows domenom. NTLM je još uvijek prisutan na Windows poslužiteljima, a napadači mogu iskoristiti ranjivosti poput ShadowCoerce, DFSCoerce, PetitPotam i RemotePotato0, koji su dizajnirani za zaobilaženje zaštite od releja napadi. Osim toga, NTLM dopušta napade hash prijenosom, omogućujući napadačima da se autentificiraju kao kompromitirani korisnici i pristupe osjetljivim podacima.
Kako bi ublažio te rizike, Microsoft savjetuje Windows administratorima da ili onemoguće NTLM ili konfiguriraju svoje poslužitelje da blokiraju NTLM relejne napade pomoću usluga certifikata Active Directory.
Microsoft trenutačno radi na dvije nove značajke vezane uz Kerberos. Prva značajka, IAKerb (početna i end-to-end provjera autentičnosti pomoću Kerberosa), omogućuje sustavu Windows prijenos Kerberosa poruke između udaljenih lokalnih računala bez potrebe za dodatnim uslugama poduzeća kao što su DNS, netlogon ili DCLokator. Druga značajka uključuje lokalni centar za distribuciju ključeva (KDC) za Kerberos, koji proširuje podršku za Kerberos na lokalne račune.
Nadalje, Microsoft planira poboljšati NTLM kontrole, dajući administratorima veću fleksibilnost za praćenje i ograničavanje upotrebe NTLM-a u njihovim okruženjima.
Sve ove promjene bit će omogućene prema zadanim postavkama i neće zahtijevati konfiguraciju za većinu scenarija, npr navedeno od strane tvrtke. NTLM će i dalje biti dostupan kao rezervna opcija za održavanje kompatibilnosti s postojećim sustavima.
Ako vam se sviđa ovaj članak, podijelite ga pomoću gumba u nastavku. Neće vam puno oduzeti, ali će nam pomoći da rastemo. Hvala na podršci!
