Microsoft планирует отключить аутентификацию NTLM в Windows 11

Microsoft сделала объявление о том, что протокол аутентификации NTLM будет отключен в Windows 11. Вместо этого он будет заменен Kerberos, который в настоящее время является протоколом аутентификации по умолчанию в версиях Windows выше Windows 2000.

НТЛМ, что означает New Technology LAN Manager, представляет собой набор протоколов, используемых для аутентификации удаленных пользователей и обеспечения безопасности сеансов. Он часто использовался злоумышленниками при ретрансляционных атаках. В этих атаках задействованы уязвимые сетевые устройства, включая контроллеры домена, выполняющие аутентификацию на серверах, контролируемых злоумышленниками. С помощью этих атак злоумышленники могут повысить свои привилегии и получить полный контроль над доменом Windows. NTLM по-прежнему присутствует на серверах Windows, и злоумышленники могут использовать такие уязвимости, как ShadowCoerce, DFSCoerce, PetitPotam и RemotePotato0, которые предназначены для обхода защиты от ретрансляции. атаки. Кроме того, NTLM допускает атаки с передачей хэш-кода, позволяя злоумышленникам аутентифицировать себя как скомпрометированного пользователя и получить доступ к конфиденциальным данным.

Чтобы снизить эти риски, Microsoft советует администраторам Windows либо отключить NTLM, либо настроить свои серверы для блокировки атак ретрансляции NTLM с помощью служб сертификации Active Directory.

В настоящее время Microsoft работает над двумя новыми функциями, связанными с Kerberos. Первая функция, IAKerb (первоначальная и сквозная аутентификация с использованием Kerberos), позволяет Windows передавать Kerberos. сообщения между удаленными локальными компьютерами без необходимости использования дополнительных корпоративных служб, таких как DNS, вход в сеть или DCLocator. Вторая функция включает в себя локальный центр распространения ключей (KDC) для Kerberos, который расширяет поддержку Kerberos на локальные учетные записи.

Кроме того, Microsoft планирует усовершенствовать средства управления NTLM, предоставив администраторам большую гибкость в мониторинге и ограничении использования NTLM в своих средах.

Все эти изменения будут включены по умолчанию и не потребуют настройки для большинства сценариев, поскольку заявил компанией. NTLM по-прежнему будет доступен в качестве запасного варианта для обеспечения совместимости с существующими системами.