Microsoft วางแผนที่จะปิดการใช้งานการรับรองความถูกต้อง NTLM ใน Windows 11

Microsoft ได้ประกาศระบุว่าโปรโตคอลการตรวจสอบสิทธิ์ NTLM จะถูกปิดใช้งานใน Windows 11 แต่จะถูกแทนที่ด้วย Kerberos ซึ่งปัจจุบันเป็นโปรโตคอลการตรวจสอบความถูกต้องเริ่มต้นใน Windows เวอร์ชันที่สูงกว่า Windows 2000

NTLMซึ่งย่อมาจาก New Technology LAN Manager คือชุดของโปรโตคอลที่ใช้สำหรับตรวจสอบสิทธิ์ผู้ใช้ระยะไกลและให้ความปลอดภัยของเซสชัน ผู้โจมตีมักถูกโจมตีโดยการโจมตีแบบถ่ายทอด การโจมตีเหล่านี้เกี่ยวข้องกับอุปกรณ์เครือข่ายที่มีช่องโหว่ รวมถึงตัวควบคุมโดเมน ซึ่งตรวจสอบความถูกต้องของเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี ด้วยการโจมตีเหล่านี้ ผู้โจมตีสามารถเพิ่มสิทธิพิเศษและควบคุมโดเมน Windows ได้อย่างสมบูรณ์ NTLM ยังคงมีอยู่บนเซิร์ฟเวอร์ Windows และผู้โจมตีสามารถใช้ประโยชน์จากช่องโหว่เช่น ShadowCoerce DFSCoerce, PetitPotam และ RemotePotato0 ซึ่งได้รับการออกแบบมาเพื่อเลี่ยงการป้องกันการถ่ายทอด การโจมตี นอกจากนี้ NTLM ยังอนุญาตให้มีการโจมตีด้วยการส่งแฮช ทำให้ผู้โจมตีสามารถตรวจสอบตัวเองว่าเป็นผู้ใช้ที่ถูกบุกรุกและเข้าถึงข้อมูลที่ละเอียดอ่อนได้

เพื่อลดความเสี่ยงเหล่านี้ Microsoft แนะนำให้ผู้ดูแลระบบ Windows ปิดใช้งาน NTLM หรือกำหนดค่าเซิร์ฟเวอร์ให้บล็อกการโจมตีแบบส่งต่อ NTLM โดยใช้ Active Directory Certificate Services

ปัจจุบัน Microsoft กำลังทำงานเกี่ยวกับคุณสมบัติใหม่สองประการที่เกี่ยวข้องกับ Kerberos คุณสมบัติแรก IAKerb (การตรวจสอบสิทธิ์เริ่มต้นและจากต้นทางถึงปลายทางโดยใช้ Kerberos) ช่วยให้ Windows สามารถส่ง Kerberos ข้อความระหว่างคอมพิวเตอร์ระยะไกลโดยไม่จำเป็นต้องใช้บริการระดับองค์กรเพิ่มเติม เช่น DNS, netlogon หรือ DCLocator. คุณสมบัติที่สองเกี่ยวข้องกับ Key Distribution Center (KDC) ในเครื่องสำหรับ Kerberos ซึ่งขยายการรองรับ Kerberos ไปยังบัญชีในเครื่อง

นอกจากนี้ Microsoft วางแผนที่จะปรับปรุงการควบคุม NTLM โดยให้ผู้ดูแลระบบมีความยืดหยุ่นมากขึ้นในการตรวจสอบและจำกัดการใช้ NTLM ในสภาพแวดล้อมของตน

การเปลี่ยนแปลงทั้งหมดเหล่านี้จะเปิดใช้งานตามค่าเริ่มต้น และไม่จำเป็นต้องกำหนดค่าสำหรับสถานการณ์ส่วนใหญ่ เช่น ระบุไว้ โดยบริษัท NTLM จะยังคงเป็นตัวเลือกทางเลือกเพื่อรักษาความเข้ากันได้กับระบบที่มีอยู่