MicrosoftはWindows 11でNTLM認証を無効にする予定

Microsoft は、Windows 11 では NTLM 認証プロトコルが無効になると発表しました。 代わりに、現在 Windows 2000 以降の Windows バージョンのデフォルトの認証プロトコルである Kerberos に置き換えられます。

NTLMNew Technology LAN Manager の略で、リモート ユーザーを認証し、セッション セキュリティを提供するために使用されるプロトコルのセットです。 攻撃者によるリレー攻撃で悪用されることがよくあります。 これらの攻撃には、攻撃者が制御するサーバーに対する認証を行う、ドメイン コントローラーなどの脆弱なネットワーク デバイスが関与します。 これらの攻撃を通じて、攻撃者は権限を昇格させ、Windows ドメインを完全に制御できるようになります。 NTLM は依然として Windows サーバーに存在しており、攻撃者は ShadowCoerce などの脆弱性を悪用する可能性があります。 DFSCoerce、PetitPotam、および RemotePotato0。リレーに対する保護をバイパスするように設計されています。 攻撃します。 さらに、NTLM はハッシュ送信攻撃を可能にし、攻撃者が自分自身を侵害されたユーザーとして認証し、機密データにアクセスできるようにします。

これらのリスクを軽減するために、Microsoft は Windows 管理者に対し、NTLM を無効にするか、Active Directory 証明書サービスを使用して NTLM リレー攻撃をブロックするようにサーバーを構成することを推奨しています。

現在、Microsoft は Kerberos に関連する 2 つの新機能に取り組んでいます。 最初の機能である IAKerb (Kerberos を使用した初期およびエンドツーエンド認証) により、Windows が Kerberos を送信できるようになります。 DNS、ネットログオン、サービスなどの追加のエンタープライズ サービスを必要とせずに、リモート ローカル コンピュータ間でメッセージを送信できます。 DCロケータ。 2 番目の機能には、Kerberos のローカル キー配布センター (KDC) が含まれており、Kerberos サポートをローカル アカウントに拡張します。

さらに、Microsoft は NTLM 制御を強化し、管理者が環境内での NTLM の使用をより柔軟に監視および制限できるようにする予定です。

これらの変更はすべてデフォルトで有効になり、ほとんどのシナリオで構成を必要としません。 述べました 会社によって。 NTLM は、既存のシステムとの互換性を維持するためのフォールバック オプションとして引き続き利用できます。