Microsoft intenționează să dezactiveze autentificarea NTLM în Windows 11

Microsoft a făcut un anunț în care afirmă că protocolul de autentificare NTLM va fi dezactivat în Windows 11. În schimb, va fi înlocuit cu Kerberos, care este în prezent protocolul de autentificare implicit în versiunile Windows de mai sus de Windows 2000.

NTLM, care înseamnă New Technology LAN Manager, este un set de protocoale utilizate pentru autentificarea utilizatorilor de la distanță și pentru a asigura securitatea sesiunii. A fost adesea exploatat de atacatori în atacuri releu. Aceste atacuri implică dispozitive de rețea vulnerabile, inclusiv controlere de domeniu, care se autentifică la serverele controlate de atacatori. Prin aceste atacuri, atacatorii își pot escalada privilegiile și pot obține control complet asupra unui domeniu Windows. NTLM este încă prezent pe serverele Windows, iar atacatorii pot exploata vulnerabilități precum ShadowCoerce, DFSCoerce, PetitPotam și RemotePotato0, care sunt concepute pentru a ocoli protecțiile împotriva releului atacuri. În plus, NTLM permite atacuri de transmisie hash, permițând atacatorilor să se autentifice ca utilizator compromis și să acceseze date sensibile.

Pentru a atenua aceste riscuri, Microsoft sfătuiește administratorii Windows să dezactiveze NTLM sau să își configureze serverele pentru a bloca atacurile de retransmitere NTLM utilizând Active Directory Certificate Services.

În prezent, Microsoft lucrează la două funcții noi legate de Kerberos. Prima caracteristică, IAKerb (autentificare inițială și end-to-end folosind Kerberos), permite Windows să transmită Kerberos mesaje între computere locale la distanță fără a fi nevoie de servicii suplimentare de întreprindere, cum ar fi DNS, netlogon sau DCLocator. A doua caracteristică implică un centru local de distribuție a cheilor (KDC) pentru Kerberos, care extinde suportul Kerberos la conturile locale.

În plus, Microsoft intenționează să îmbunătățească controalele NTLM, oferind administratorilor o mai mare flexibilitate de a monitoriza și restricționa utilizarea NTLM în mediile lor.

Toate aceste modificări vor fi activate implicit și nu vor necesita configurare pentru majoritatea scenariilor, așa cum stabilit de către companie. NTLM va fi în continuare disponibil ca opțiune de rezervă pentru a menține compatibilitatea cu sistemele existente.