מיקרוסופט מתכננת להשבית את אימות NTLM ב-Windows 11

מיקרוסופט פרסמה הודעה לפיה פרוטוקול האימות NTLM יושבת ב-Windows 11. במקום זאת, הוא יוחלף ב-Kerberos, שהוא כרגע פרוטוקול האימות המוגדר כברירת מחדל בגרסאות Windows מעל Windows 2000.

NTLM, אשר ראשי תיבות של New Technology LAN Manager, היא קבוצה של פרוטוקולים המשמשים לאימות משתמשים מרוחקים ומתן אבטחת הפעלה. זה נוצל לעתים קרובות על ידי תוקפים בהתקפות ממסר. התקפות אלו מערבות התקני רשת פגיעים, כולל בקרי תחום, המאמתים לשרתים הנשלטים על ידי התוקפים. באמצעות התקפות אלו, התוקפים יכולים להסלים את ההרשאות שלהם ולהשיג שליטה מלאה על תחום Windows. NTLM עדיין קיים בשרתי Windows, ותוקפים יכולים לנצל נקודות תורפה כמו ShadowCoerce, DFSCoerce, PetitPotam ו-RemotePotato0, שנועדו לעקוף הגנות מפני ממסר התקפות. בנוסף, NTLM מאפשר התקפות שידור hash, מה שמאפשר לתוקפים לאמת את עצמם כמשתמש שנפגע ולגשת לנתונים רגישים.

כדי להפחית סיכונים אלה, מייעצת מיקרוסופט למנהלי מערכת של Windows להשבית את NTLM או להגדיר את השרתים שלהם לחסום התקפות ממסר NTLM באמצעות Active Directory Certificate Services.

נכון לעכשיו, מיקרוסופט עובדת על שתי תכונות חדשות הקשורות ל-Kerberos. התכונה הראשונה, IAKerb (אימות ראשוני ומקצה לקצה באמצעות Kerberos), מאפשרת ל-Windows לשדר Kerberos הודעות בין מחשבים מקומיים מרוחקים ללא צורך בשירותים ארגוניים נוספים כגון DNS, netlogon או DCLocator. התכונה השנייה כוללת מרכז הפצת מפתחות מקומי (KDC) עבור Kerberos, המרחיב את התמיכה של Kerberos לחשבונות מקומיים.

יתר על כן, מיקרוסופט מתכננת לשפר את בקרות ה-NTLM, ולהעניק למנהלי מערכת גמישות רבה יותר לנטר ולהגביל את השימוש ב-NTLM בסביבותיהם.

כל השינויים הללו יהיו מופעלים כברירת מחדל ולא ידרשו תצורה עבור רוב התרחישים, כמו נָקוּב על ידי החברה. NTLM עדיין יהיה זמין כאפשרות ניצול לשמירה על תאימות למערכות קיימות.