Microsoft namerava onemogočiti preverjanje pristnosti NTLM v sistemu Windows 11

Microsoft je objavil obvestilo, da bo protokol za preverjanje pristnosti NTLM onemogočen v sistemu Windows 11. Namesto tega ga bo nadomestil Kerberos, ki je trenutno privzeti protokol za preverjanje pristnosti v različicah sistema Windows nad Windows 2000.

NTLM, kar pomeni New Technology LAN Manager, je nabor protokolov, ki se uporabljajo za preverjanje pristnosti oddaljenih uporabnikov in zagotavljanje varnosti seje. Napadalci so ga pogosto izkoriščali pri relejnih napadih. Ti napadi vključujejo ranljive omrežne naprave, vključno s krmilniki domene, ki preverjajo pristnost na strežnikih, ki jih nadzorujejo napadalci. S temi napadi lahko napadalci povečajo svoje privilegije in pridobijo popoln nadzor nad domeno Windows. NTLM je še vedno prisoten na strežnikih Windows in napadalci lahko izkoristijo ranljivosti, kot je ShadowCoerce, DFSCoerce, PetitPotam in RemotePotato0, ki so zasnovani tako, da obidejo zaščite pred releji napadi. Poleg tega NTLM omogoča napade zgoščenega prenosa, kar napadalcem omogoča, da se avtentikirajo kot ogroženi uporabniki in dostopajo do občutljivih podatkov.

Da bi ublažili ta tveganja, Microsoft svetuje skrbnikom sistema Windows, naj bodisi onemogočijo NTLM ali konfigurirajo svoje strežnike tako, da blokirajo relejne napade NTLM s storitvami potrdil Active Directory.

Microsoft trenutno dela na dveh novih funkcijah, povezanih s Kerberosom. Prva funkcija, IAKerb (začetna in končna avtentikacija z uporabo Kerberos), omogoča sistemu Windows prenos Kerberos sporočila med oddaljenimi lokalnimi računalniki brez potrebe po dodatnih storitvah podjetja, kot so DNS, netlogon ali DCLocator. Druga funkcija vključuje lokalni center za distribucijo ključev (KDC) za Kerberos, ki razširi podporo za Kerberos na lokalne račune.

Poleg tega Microsoft načrtuje izboljšanje nadzora NTLM, kar skrbnikom omogoča večjo prilagodljivost pri spremljanju in omejevanju uporabe NTLM v njihovih okoljih.

Vse te spremembe bodo privzeto omogočene in za večino scenarijev ne bodo zahtevale konfiguracije, npr navedeno s strani podjetja. NTLM bo še vedno na voljo kot nadomestna možnost za ohranjanje združljivosti z obstoječimi sistemi.