Microsoft planerar att inaktivera NTLM-autentisering i Windows 11

Microsoft har gjort ett tillkännagivande om att NTLM-autentiseringsprotokollet kommer att inaktiveras i Windows 11. Istället kommer det att ersättas av Kerberos, som för närvarande är standardprotokollet för autentisering i Windows-versioner över Windows 2000.

NTLM, som står för New Technology LAN Manager, är en uppsättning protokoll som används för att autentisera fjärranvändare och tillhandahålla sessionssäkerhet. Det har ofta utnyttjats av angripare i reläattacker. Dessa attacker involverar sårbara nätverksenheter, inklusive domänkontrollanter, som autentiseras till servrar som kontrolleras av angriparna. Genom dessa attacker kan angriparna eskalera sina privilegier och få fullständig kontroll över en Windows-domän. NTLM finns fortfarande på Windows-servrar och angripare kan utnyttja sårbarheter som ShadowCoerce, DFSCoerce, PetitPotam och RemotePotato0, som är designade för att kringgå skydd mot relä attacker. Dessutom tillåter NTLM hashöverföringsattacker, vilket gör det möjligt för angripare att autentisera sig som en komprometterad användare och komma åt känslig data.

För att minska dessa risker råder Microsoft Windows-administratörer att antingen inaktivera NTLM eller konfigurera sina servrar för att blockera NTLM-reläattacker med Active Directory Certificate Services.

För närvarande arbetar Microsoft på två nya funktioner relaterade till Kerberos. Den första funktionen, IAKerb (initial och end-to-end-autentisering med Kerberos), tillåter Windows att överföra Kerberos meddelanden mellan lokala fjärrdatorer utan behov av ytterligare företagstjänster som DNS, netlogon eller DCLocator. Den andra funktionen involverar ett lokalt nyckeldistributionscenter (KDC) för Kerberos, som utökar Kerberos-stödet till lokala konton.

Dessutom planerar Microsoft att förbättra NTLM-kontrollerna, vilket ger administratörer större flexibilitet att övervaka och begränsa användningen av NTLM i sina miljöer.

Alla dessa ändringar kommer att vara aktiverade som standard och kräver inte konfiguration för de flesta scenarier, som uppgav av företaget. NTLM kommer fortfarande att vara tillgängligt som ett reservalternativ för att bibehålla kompatibilitet med befintliga system.