Microsoft გეგმავს გამორთოს NTLM ავთენტიფიკაცია Windows 11-ში

Microsoft-მა გააკეთა განცხადება, სადაც ნათქვამია, რომ Windows 11-ში NTLM ავთენტიფიკაციის პროტოკოლი გამორთული იქნება. ამის ნაცვლად, ის შეიცვლება Kerberos-ით, რომელიც ამჟამად არის ავთენტიფიკაციის ნაგულისხმევი პროტოკოლი Windows 2000-ის ზემოთ ვერსიებში.

NTLM, რომელიც ნიშნავს New Technology LAN Manager-ს, არის პროტოკოლების ნაკრები, რომელიც გამოიყენება დისტანციური მომხმარებლების ავთენტიფიკაციისა და სესიის უსაფრთხოების უზრუნველსაყოფად. მას ხშირად იყენებდნენ თავდამსხმელები სარელეო შეტევებში. ეს შეტევები მოიცავს დაუცველ ქსელურ მოწყობილობებს, მათ შორის დომენის კონტროლერებს, რომლებიც ავთენტიფიკაციას ახდენენ თავდამსხმელების მიერ კონტროლირებად სერვერებზე. ამ შეტევების საშუალებით თავდამსხმელებს შეუძლიათ გააძლიერონ თავიანთი პრივილეგიები და მოიპოვონ სრული კონტროლი Windows დომენზე. NTLM ჯერ კიდევ იმყოფება Windows სერვერებზე და თავდამსხმელებს შეუძლიათ გამოიყენონ დაუცველობა, როგორიცაა ShadowCoerce, DFSCoerce, PetitPotam და RemotePotato0, რომლებიც შექმნილია რელეებისგან დაცვის გვერდის ავლით თავდასხმები. გარდა ამისა, NTLM საშუალებას აძლევს ჰეშის გადაცემის შეტევებს, რაც საშუალებას აძლევს თავდამსხმელებს დაადასტურონ საკუთარი თავი, როგორც კომპრომეტირებული მომხმარებელი და მიიღონ სენსიტიურ მონაცემებზე.

ამ რისკების შესამცირებლად, Microsoft ურჩევს Windows-ის ადმინისტრატორებს გამორთონ NTLM ან დააკონფიგურირონ სერვერები NTLM სარელეო შეტევების დასაბლოკად Active Directory Certificate Services-ის გამოყენებით.

ამჟამად Microsoft მუშაობს Kerberos-თან დაკავშირებულ ორ ახალ ფუნქციაზე. პირველი ფუნქცია, IAKerb (საწყისი და ბოლომდე ავტორიზაცია Kerberos-ის გამოყენებით), საშუალებას აძლევს Windows-ს გადასცეს Kerberos. შეტყობინებები დისტანციურ ადგილობრივ კომპიუტერებს შორის დამატებითი საწარმოს სერვისების საჭიროების გარეშე, როგორიცაა DNS, netlogon ან DCLocator. მეორე ფუნქცია მოიცავს Kerberos-ის გასაღების სადისტრიბუციო ცენტრს (KDC), რომელიც აფართოებს Kerberos-ის მხარდაჭერას ადგილობრივ ანგარიშებზე.

გარდა ამისა, Microsoft გეგმავს გააძლიეროს NTLM კონტროლი, რაც ადმინისტრატორებს უფრო მეტ მოქნილობას აძლევს მათ გარემოში NTLM-ის გამოყენების მონიტორინგისა და შეზღუდვის მიზნით.

ყველა ეს ცვლილება ჩართული იქნება ნაგულისხმევად და არ საჭიროებს კონფიგურაციას უმეტეს სცენარისთვის, როგორც განაცხადა კომპანიის მიერ. NTLM კვლავ ხელმისაწვდომი იქნება, როგორც დამხმარე ვარიანტი არსებულ სისტემებთან თავსებადობის შესანარჩუნებლად.