Мицрософт планира да онемогући НТЛМ аутентификацију у оперативном систему Виндовс 11

Мицрософт је објавио да ће НТЛМ протокол аутентикације бити онемогућен у оперативном систему Виндовс 11. Уместо тога, биће замењен Керберос-ом, који је тренутно подразумевани протокол за потврду идентитета у верзијама оперативног система Виндовс изнад Виндовс 2000.

НТЛМ, што је скраћеница за Нев Тецхнологи ЛАН Манагер, је скуп протокола који се користе за аутентификацију удаљених корисника и обезбеђивање безбедности сесије. Нападачи су га често искориштавали у штафетним нападима. Ови напади укључују рањиве мрежне уређаје, укључујући контролере домена, који се аутентификују на сервере које контролишу нападачи. Кроз ове нападе, нападачи могу да ескалирају своје привилегије и стекну потпуну контролу над Виндовс доменом. НТЛМ је и даље присутан на Виндовс серверима, а нападачи могу да искористе рањивости као што су СхадовЦоерце, ДФСЦоерце, ПетитПотам и РемотеПотато0, који су дизајнирани да заобиђу заштиту од релеја напада. Поред тога, НТЛМ дозвољава нападе хеш преноса, омогућавајући нападачима да се аутентификују као компромитовани корисник и приступе осетљивим подацима.

Да би ублажио ове ризике, Мицрософт саветује Виндовс администраторе да или онемогуће НТЛМ или да конфигуришу своје сервере да блокирају НТЛМ релејне нападе користећи Ацтиве Дирецтори Цертифицате Сервицес.

Тренутно, Мицрософт ради на две нове функције везане за Керберос. Прва функција, ИАКерб (почетна и енд-то-енд аутентификација помоћу Керберос-а), омогућава Виндовс-у да преноси Керберос поруке између удаљених локалних рачунара без потребе за додатним услугама предузећа као што су ДНС, нетлогон или ДЦЛоцатор. Друга карактеристика укључује локални центар за дистрибуцију кључева (КДЦ) за Керберос, који проширује Керберос подршку на локалне налоге.

Штавише, Мицрософт планира да побољша НТЛМ контроле, дајући администраторима већу флексибилност да надгледају и ограничавају употребу НТЛМ-а у својим окружењима.

Све ове промене ће бити подразумевано омогућене и неће захтевати конфигурацију за већину сценарија, као изјавио је од стране компаније. НТЛМ ће и даље бити доступан као резервна опција за одржавање компатибилности са постојећим системима.