„Microsoft“ planuoja išjungti NTLM autentifikavimą „Windows 11“.

„Microsoft“ paskelbė, kad „Windows 11“ bus išjungtas NTLM autentifikavimo protokolas. Vietoj to jis bus pakeistas Kerberos, kuris šiuo metu yra numatytasis autentifikavimo protokolas Windows versijose, aukštesnėse nei Windows 2000.

NTLM, reiškiantis New Technology LAN Manager, yra protokolų rinkinys, naudojamas nuotoliniams vartotojams autentifikuoti ir seanso saugumui užtikrinti. Juo dažnai pasinaudojo užpuolikai, vykdydami perdavimo atakas. Šios atakos apima pažeidžiamus tinklo įrenginius, įskaitant domeno valdiklius, autentifikuojančius serverius, kuriuos valdo užpuolikai. Per šias atakas užpuolikai gali padidinti savo privilegijas ir visiškai valdyti „Windows“ domeną. NTLM vis dar yra „Windows“ serveriuose, o užpuolikai gali išnaudoti pažeidžiamumą, pvz., „ShadowCoerce“, DFSCoerce, PetitPotam ir RemotePotato0, kurie yra skirti apeiti apsaugą nuo relės išpuolių. Be to, NTLM leidžia vykdyti maišos perdavimo atakas, leidžiančias užpuolikams autentifikuoti save kaip pažeistą vartotoją ir pasiekti neskelbtinus duomenis.

Siekdama sumažinti šią riziką, „Microsoft“ pataria „Windows“ administratoriams išjungti NTLM arba sukonfigūruoti savo serverius, kad blokuotų NTLM perdavimo atakas naudojant „Active Directory“ sertifikato paslaugas.

Šiuo metu „Microsoft“ kuria dvi naujas funkcijas, susijusias su „Kerberos“. Pirmoji funkcija, IAKerb (pradinis ir galutinis autentifikavimas naudojant Kerberos), leidžia Windows perduoti Kerberos pranešimus tarp nuotolinių vietinių kompiuterių, nereikalaujant papildomų įmonės paslaugų, tokių kaip DNS, „netlogon“ arba DCLokatorius. Antroji funkcija apima vietinį „Kerberos“ raktų paskirstymo centrą (KDC), kuris išplečia „Kerberos“ palaikymą iki vietinių paskyrų.

Be to, „Microsoft“ planuoja patobulinti NTLM valdiklius, suteikdama administratoriams daugiau lankstumo stebėti ir apriboti NTLM naudojimą savo aplinkoje.

Visi šie pakeitimai bus įjungti pagal numatytuosius nustatymus ir nereikės konfigūruoti daugeliui scenarijų, pvz pareiškė įmonės. NTLM vis tiek bus prieinama kaip atsarginė parinktis, siekiant išlaikyti suderinamumą su esamomis sistemomis.