Windows Tips & News

Microsoft namerava onemogočiti preverjanje pristnosti NTLM v sistemu Windows 11

Microsoft je objavil obvestilo, da bo protokol za preverjanje pristnosti NTLM onemogočen v sistemu Windows 11. Namesto tega ga bo nadomestil Kerberos, ki je trenutno privzeti protokol za preverjanje pristnosti v različicah sistema Windows nad Windows 2000.

NTLM, kar pomeni New Technology LAN Manager, je nabor protokolov, ki se uporabljajo za preverjanje pristnosti oddaljenih uporabnikov in zagotavljanje varnosti seje. Napadalci so ga pogosto izkoriščali pri relejnih napadih. Ti napadi vključujejo ranljive omrežne naprave, vključno s krmilniki domene, ki preverjajo pristnost na strežnikih, ki jih nadzorujejo napadalci. S temi napadi lahko napadalci povečajo svoje privilegije in pridobijo popoln nadzor nad domeno Windows. NTLM je še vedno prisoten na strežnikih Windows in napadalci lahko izkoristijo ranljivosti, kot je ShadowCoerce, DFSCoerce, PetitPotam in RemotePotato0, ki so zasnovani tako, da obidejo zaščite pred releji napadi. Poleg tega NTLM omogoča napade zgoščenega prenosa, kar napadalcem omogoča, da se avtentikirajo kot ogroženi uporabniki in dostopajo do občutljivih podatkov.

Da bi ublažili ta tveganja, Microsoft svetuje skrbnikom sistema Windows, naj bodisi onemogočijo NTLM ali konfigurirajo svoje strežnike tako, da blokirajo relejne napade NTLM s storitvami potrdil Active Directory.

Microsoft trenutno dela na dveh novih funkcijah, povezanih s Kerberosom. Prva funkcija, IAKerb (začetna in končna avtentikacija z uporabo Kerberos), omogoča sistemu Windows prenos Kerberos sporočila med oddaljenimi lokalnimi računalniki brez potrebe po dodatnih storitvah podjetja, kot so DNS, netlogon ali DCLocator. Druga funkcija vključuje lokalni center za distribucijo ključev (KDC) za Kerberos, ki razširi podporo za Kerberos na lokalne račune.

Poleg tega Microsoft načrtuje izboljšanje nadzora NTLM, kar skrbnikom omogoča večjo prilagodljivost pri spremljanju in omejevanju uporabe NTLM v njihovih okoljih.

Vse te spremembe bodo privzeto omogočene in za večino scenarijev ne bodo zahtevale konfiguracije, npr navedeno s strani podjetja. NTLM bo še vedno na voljo kot nadomestna možnost za ohranjanje združljivosti z obstoječimi sistemi.

Če vam je ta članek všeč, ga delite s spodnjimi gumbi. Ne bo vam vzelo veliko, vendar nam bo pomagalo rasti. Hvala za tvojo podporo!

Kako preklicati rezervacijo v sistemu Windows 10

Kako preklicati rezervacijo v sistemu Windows 10

Microsoft aktivno promovira svoj prihajajoči operacijski sistem Windows 10 in je izdal celo poseb...

Preberi več

Microsoft zdaj označuje datoteke HOSTS, ki blokirajo telemetrijo sistema Windows 10

Microsoft zdaj označuje datoteke HOSTS, ki blokirajo telemetrijo sistema Windows 10

Microsoft je uporabnikom sistema Windows 10 predstavil še eno spremembo. Če ste z uporabo datotek...

Preberi več

Edge Dev 87.0.664.8 vključuje nov meni Priljubljene, primerjavo cen

Edge Dev 87.0.664.8 vključuje nov meni Priljubljene, primerjavo cen

Microsoft ima izpustil nova različica brskalnika Edge za razvijalce. Na podlagi Chromium 87 vklju...

Preberi več