A Microsoft azt tervezi, hogy letiltja az NTLM hitelesítést a Windows 11 rendszerben

A Microsoft bejelentette, hogy az NTLM hitelesítési protokollt letiltják a Windows 11 rendszerben. Ehelyett a Kerberos váltja fel, amely jelenleg az alapértelmezett hitelesítési protokoll a Windows 2000 feletti Windows-verziókban.

NTLM, amely a New Technology LAN Manager rövidítése, a távoli felhasználók hitelesítésére és a munkamenet biztonságának biztosítására használt protokollok összessége. A támadók gyakran használták ki közvetítő támadások során. Ezek a támadások sebezhető hálózati eszközöket érintenek, beleértve a tartományvezérlőket is, amelyek a támadók által vezérelt szervereken hitelesítenek. Ezekkel a támadásokkal a támadók kiterjeszthetik jogosultságaikat, és teljes irányítást szerezhetnek a Windows tartomány felett. Az NTLM továbbra is jelen van a Windows szervereken, és a támadók kihasználhatnak olyan sebezhetőségeket, mint a ShadowCoerce, DFSCoerce, PetitPotam és RemotePotato0, amelyeket úgy terveztek, hogy megkerüljék a relé elleni védelmet támadások. Ezenkívül az NTLM lehetővé teszi a hash átviteli támadásokat, lehetővé téve a támadók számára, hogy feltört felhasználóként azonosítsák magukat, és hozzáférjenek az érzékeny adatokhoz.

E kockázatok csökkentése érdekében a Microsoft azt tanácsolja a Windows rendszergazdáknak, hogy tiltsák le az NTLM-et, vagy állítsák be kiszolgálóikat az NTLM-továbbítási támadások blokkolására az Active Directory tanúsítványszolgáltatások segítségével.

A Microsoft jelenleg két, a Kerberoshoz kapcsolódó új funkción dolgozik. Az első szolgáltatás, az IAKerb (kezdeti és végpontok közötti hitelesítés Kerberos használatával), lehetővé teszi a Windows számára a Kerberos átvitelét üzenetek távoli helyi számítógépek között további vállalati szolgáltatások, például DNS, netlogon vagy egyéb szolgáltatások nélkül DClocator. A második szolgáltatás egy helyi kulcselosztó központot (KDC) foglal magában a Kerberos számára, amely kiterjeszti a Kerberos támogatását a helyi fiókokra.

Ezenkívül a Microsoft azt tervezi, hogy továbbfejleszti az NTLM-vezérlőket, nagyobb rugalmasságot biztosítva a rendszergazdáknak az NTLM használatának megfigyelésében és korlátozásában a környezetükben.

Mindezek a változtatások alapértelmezés szerint engedélyezve lesznek, és nem igényelnek konfigurációt a legtöbb forgatókönyvhöz, pl megállapított a cég által. Az NTLM továbbra is elérhető lesz tartalék opcióként a meglévő rendszerekkel való kompatibilitás fenntartása érdekében.