Microsoft plánuje zakázať autentifikáciu NTLM v systéme Windows 11

Spoločnosť Microsoft oznámila, že overovací protokol NTLM bude v systéme Windows 11 zakázaný. Namiesto toho bude nahradený protokolom Kerberos, ktorý je v súčasnosti predvoleným overovacím protokolom vo verziách Windows vyšších ako Windows 2000.

NTLM, čo je skratka pre New Technology LAN Manager, je sada protokolov používaných na autentifikáciu vzdialených používateľov a poskytovanie zabezpečenia relácie. Útočníci ho často zneužívali pri prenosových útokoch. Tieto útoky zahŕňajú zraniteľné sieťové zariadenia vrátane radičov domény, ktoré sa overujú na serveroch kontrolovaných útočníkmi. Prostredníctvom týchto útokov môžu útočníci eskalovať svoje privilégiá a získať úplnú kontrolu nad doménou Windows. NTLM je stále prítomný na serveroch Windows a útočníci môžu zneužiť zraniteľné miesta ako ShadowCoerce, DFSCoerce, PetitPotam a RemotePotato0, ktoré sú navrhnuté tak, aby obchádzali ochrany proti relé útokov. Okrem toho NTLM umožňuje útoky prenosom hash, čo útočníkom umožňuje overiť si ako napadnutý používateľ a získať prístup k citlivým údajom.

Na zmiernenie týchto rizík spoločnosť Microsoft odporúča správcom systému Windows, aby buď zakázali NTLM, alebo nakonfigurovali svoje servery tak, aby blokovali prenosové útoky NTLM pomocou služby Active Directory Certificate Services.

V súčasnosti Microsoft pracuje na dvoch nových funkciách súvisiacich s Kerberos. Prvá funkcia, IAKerb (počiatočná a end-to-end autentifikácia pomocou protokolu Kerberos), umožňuje systému Windows prenášať protokol Kerberos správy medzi vzdialenými lokálnymi počítačmi bez potreby ďalších podnikových služieb ako DNS, netlogon, príp DCLocator. Druhá funkcia zahŕňa lokálne centrum distribúcie kľúčov (KDC) pre Kerberos, ktoré rozširuje podporu Kerberos na lokálne účty.

Okrem toho spoločnosť Microsoft plánuje zlepšiť ovládacie prvky NTLM, čím poskytne správcom väčšiu flexibilitu pri monitorovaní a obmedzení používania NTLM v ich prostrediach.

Všetky tieto zmeny budú predvolene povolené a pre väčšinu scenárov si nevyžadujú konfiguráciu uviedol spoločnosťou. NTLM bude stále k dispozícii ako záložná možnosť na zachovanie kompatibility s existujúcimi systémami.