Microsoft planuje wyłączyć uwierzytelnianie NTLM w systemie Windows 11
Firma Microsoft ogłosiła, że protokół uwierzytelniania NTLM zostanie wyłączony w systemie Windows 11. Zamiast tego zostanie zastąpiony przez Kerberos, który jest obecnie domyślnym protokołem uwierzytelniania w wersjach systemu Windows powyżej Windows 2000.
NTLM, co oznacza New Technology LAN Manager, to zestaw protokołów wykorzystywanych do uwierzytelniania zdalnych użytkowników i zapewniania bezpieczeństwa sesji. Często było wykorzystywane przez atakujących w atakach sztafetowych. Ataki te obejmują podatne na ataki urządzenia sieciowe, w tym kontrolery domeny, uwierzytelniające się na serwerach kontrolowanych przez atakujących. Dzięki tym atakom napastnicy mogą eskalować swoje uprawnienia i uzyskać pełną kontrolę nad domeną Windows. NTLM jest nadal obecny na serwerach Windows, a osoby atakujące mogą wykorzystywać luki w zabezpieczeniach, takie jak ShadowCoerce, DFSCoerce, PetitPotam i RemotePotato0, które zostały zaprojektowane w celu ominięcia zabezpieczeń przed przekaźnikiem ataki. Ponadto protokół NTLM umożliwia ataki polegające na transmisji skrótu, umożliwiając atakującym uwierzytelnienie się jako użytkownik, który został zaatakowany i uzyskanie dostępu do wrażliwych danych.
Aby ograniczyć to ryzyko, firma Microsoft zaleca administratorom systemu Windows wyłączenie protokołu NTLM lub skonfigurowanie serwerów tak, aby blokowały ataki polegające na przekazywaniu protokołu NTLM przy użyciu usług certyfikatów Active Directory.
Obecnie Microsoft pracuje nad dwiema nowymi funkcjami związanymi z Kerberosem. Pierwsza funkcja, IAKerb (uwierzytelnianie początkowe i kompleksowe przy użyciu protokołu Kerberos), umożliwia systemowi Windows przesyłanie protokołu Kerberos wiadomości między zdalnymi komputerami lokalnymi bez konieczności korzystania z dodatkowych usług korporacyjnych, takich jak DNS, netlogon lub DCLocator. Druga funkcja obejmuje lokalne centrum dystrybucji kluczy (KDC) dla protokołu Kerberos, które rozszerza obsługę protokołu Kerberos na konta lokalne.
Co więcej, Microsoft planuje ulepszyć mechanizmy kontroli NTLM, zapewniając administratorom większą elastyczność w monitorowaniu i ograniczaniu użycia protokołu NTLM w swoich środowiskach.
Wszystkie te zmiany będą domyślnie włączone i nie będą wymagały konfiguracji w większości scenariuszy, ponieważ stwierdził przez firmę. NTLM będzie nadal dostępny jako opcja awaryjna w celu zachowania zgodności z istniejącymi systemami.
Jeśli podoba Ci się ten artykuł, udostępnij go za pomocą przycisków poniżej. Nie będzie to od Ciebie wiele wymagało, ale pomoże nam się rozwijać. Dziękuję za wsparcie!
