Microsoft planeja desabilitar a autenticação NTLM no Windows 11

A Microsoft fez um anúncio informando que o protocolo de autenticação NTLM será desabilitado no Windows 11. Em vez disso, ele será substituído pelo Kerberos, que atualmente é o protocolo de autenticação padrão nas versões do Windows superiores ao Windows 2000.

NTLM, que significa New Technology LAN Manager, é um conjunto de protocolos utilizados para autenticar usuários remotos e fornecer segurança de sessão. Muitas vezes tem sido explorado por invasores em ataques de retransmissão. Esses ataques envolvem dispositivos de rede vulneráveis, incluindo controladores de domínio, autenticados em servidores controlados pelos invasores. Através destes ataques, os atacantes podem aumentar os seus privilégios e obter controlo total sobre um domínio do Windows. O NTLM ainda está presente em servidores Windows e os invasores podem explorar vulnerabilidades como ShadowCoerce, DFSCoerce, PetitPotam e RemotePotato0, que são projetados para contornar proteções contra relés ataques. Além disso, o NTLM permite ataques de transmissão de hash, permitindo que os invasores se autentiquem como usuários comprometidos e acessem dados confidenciais.

Para mitigar esses riscos, a Microsoft aconselha os administradores do Windows a desabilitar o NTLM ou configurar seus servidores para bloquear ataques de retransmissão NTLM usando os Serviços de Certificados do Active Directory.

Atualmente, a Microsoft está trabalhando em dois novos recursos relacionados ao Kerberos. O primeiro recurso, IAKerb (autenticação inicial e ponta a ponta usando Kerberos), permite que o Windows transmita Kerberos mensagens entre computadores locais remotos sem a necessidade de serviços empresariais adicionais, como DNS, netlogon ou Localizador DC. O segundo recurso envolve um Centro de Distribuição de Chaves (KDC) local para Kerberos, que expande o suporte Kerberos para contas locais.

Além disso, a Microsoft planeia melhorar os controlos NTLM, concedendo aos administradores maior flexibilidade para monitorizar e restringir a utilização de NTLM nos seus ambientes.

Todas essas alterações serão habilitadas por padrão e não exigirão configuração na maioria dos cenários, pois afirmou Pela empresa. O NTLM ainda estará disponível como uma opção alternativa para manter a compatibilidade com os sistemas existentes.