Microsoft plāno atspējot NTLM autentifikāciju operētājsistēmā Windows 11

Microsoft ir nākusi klajā ar paziņojumu, ka operētājsistēmā Windows 11 tiks atspējots NTLM autentifikācijas protokols. Tā vietā tas tiks aizstāts ar Kerberos, kas pašlaik ir noklusējuma autentifikācijas protokols Windows versijās virs Windows 2000.

NTLM, kas apzīmē New Technology LAN Manager, ir protokolu kopums, ko izmanto attālo lietotāju autentificēšanai un sesijas drošības nodrošināšanai. Uzbrucēji to bieži ir izmantojuši stafetes uzbrukumos. Šie uzbrukumi ietver neaizsargātas tīkla ierīces, tostarp domēna kontrollerus, kas autentificējas serveros, kurus kontrolē uzbrucēji. Izmantojot šos uzbrukumus, uzbrucēji var palielināt savas privilēģijas un iegūt pilnīgu kontroli pār Windows domēnu. NTLM joprojām ir pieejams Windows serveros, un uzbrucēji var izmantot tādas ievainojamības kā ShadowCoerce, DFSCoerce, PetitPotam un RemotePotato0, kas ir paredzēti, lai apietu aizsardzību pret releju uzbrukumiem. Turklāt NTLM ļauj veikt hash pārraides uzbrukumus, ļaujot uzbrucējiem autentificēt sevi kā apdraudētu lietotāju un piekļūt sensitīviem datiem.

Lai mazinātu šos riskus, Microsoft iesaka Windows administratoriem vai nu atspējot NTLM, vai konfigurēt savus serverus, lai bloķētu NTLM pārraides uzbrukumus, izmantojot Active Directory sertifikātu pakalpojumus.

Pašlaik Microsoft strādā pie diviem jauniem līdzekļiem, kas saistīti ar Kerberos. Pirmā funkcija IAKerb (sākotnējā un pilnīga autentifikācija, izmantojot Kerberos) ļauj sistēmai Windows pārsūtīt Kerberos ziņojumus starp attāliem lokālajiem datoriem bez nepieciešamības pēc papildu uzņēmuma pakalpojumiem, piemēram, DNS, netlogon vai DClocator. Otrais līdzeklis ietver vietējo atslēgu izplatīšanas centru (KDC) Kerberos, kas paplašina Kerberos atbalstu vietējiem kontiem.

Turklāt Microsoft plāno uzlabot NTLM vadīklas, piešķirot administratoriem lielāku elastību, lai uzraudzītu un ierobežotu NTLM izmantošanu savā vidē.

Visas šīs izmaiņas tiks iespējotas pēc noklusējuma, un tām nebūs nepieciešama konfigurācija lielākajai daļai scenāriju, piemēram norādīts ko uzņēmums. NTLM joprojām būs pieejams kā rezerves opcija, lai saglabātu saderību ar esošajām sistēmām.