Microsoft prevede di disabilitare l'autenticazione NTLM in Windows 11

Microsoft ha fatto un annuncio affermando che il protocollo di autenticazione NTLM sarà disabilitato in Windows 11. Verrà invece sostituito da Kerberos, che attualmente è il protocollo di autenticazione predefinito nelle versioni di Windows successive a Windows 2000.

NTLM, che sta per New Technology LAN Manager, è un insieme di protocolli utilizzati per autenticare gli utenti remoti e garantire la sicurezza della sessione. È stato spesso sfruttato dagli aggressori negli attacchi a staffetta. Questi attacchi coinvolgono dispositivi di rete vulnerabili, inclusi i controller di dominio, che si autenticano su server controllati dagli aggressori. Attraverso questi attacchi, gli aggressori possono aumentare i propri privilegi e ottenere il controllo completo su un dominio Windows. NTLM è ancora presente sui server Windows e gli aggressori possono sfruttare vulnerabilità come ShadowCoerce, DFSCoerce, PetitPotam e RemotePotato0, progettati per ignorare le protezioni contro l'inoltro attacchi. Inoltre, NTLM consente attacchi di trasmissione hash, consentendo agli aggressori di autenticarsi come utente compromesso e accedere a dati sensibili.

Per mitigare questi rischi, Microsoft consiglia agli amministratori di Windows di disabilitare NTLM o di configurare i propri server per bloccare gli attacchi di inoltro NTLM utilizzando Servizi certificati Active Directory.

Attualmente Microsoft sta lavorando su due nuove funzionalità relative a Kerberos. La prima funzionalità, IAKerb (autenticazione iniziale ed end-to-end tramite Kerberos), consente a Windows di trasmettere Kerberos messaggi tra computer locali remoti senza la necessità di servizi aziendali aggiuntivi come DNS, accesso rete o DCLocator. La seconda funzionalità prevede un Key Distribution Center (KDC) locale per Kerberos, che espande il supporto Kerberos agli account locali.

Inoltre, Microsoft prevede di migliorare i controlli NTLM, garantendo agli amministratori una maggiore flessibilità per monitorare e limitare l'utilizzo di NTLM nei loro ambienti.

Tutte queste modifiche saranno abilitate per impostazione predefinita e non richiederanno configurazione per la maggior parte degli scenari, come dichiarato da parte dell'azienda. NTLM sarà ancora disponibile come opzione di fallback per mantenere la compatibilità con i sistemi esistenti.