Microsoft, Windows 11'de NTLM kimlik doğrulamasını devre dışı bırakmayı planlıyor

Microsoft, Windows 11'de NTLM kimlik doğrulama protokolünün devre dışı bırakılacağını belirten bir duyuru yaptı. Bunun yerine, şu anda Windows 2000'in üzerindeki Windows sürümlerinde varsayılan kimlik doğrulama protokolü olan Kerberos ile değiştirilecektir.

NTLMYeni Teknoloji LAN Yöneticisi anlamına gelen, uzak kullanıcıların kimliğini doğrulamak ve oturum güvenliği sağlamak için kullanılan bir dizi protokoldür. Saldırganlar tarafından aktarma saldırılarında sıklıkla istismar edilmektedir. Bu saldırılar, saldırganlar tarafından kontrol edilen sunucularda kimlik doğrulaması yapan, etki alanı denetleyicileri de dahil olmak üzere güvenlik açığı bulunan ağ cihazlarını içerir. Bu saldırılar aracılığıyla saldırganlar ayrıcalıklarını artırabilir ve bir Windows etki alanı üzerinde tam kontrol elde edebilir. NTLM hala Windows sunucularında mevcut ve saldırganlar ShadowCoerce gibi güvenlik açıklarından yararlanabilir. Rölelere karşı korumaları atlamak için tasarlanmış DFSCoerce, PetitPotam ve RemotePotato0 saldırılar. Ek olarak NTLM, karma iletim saldırılarına izin vererek saldırganların güvenliği ihlal edilmiş bir kullanıcı olarak kimlik doğrulamasına ve hassas verilere erişmesine olanak tanır.

Bu riskleri azaltmak için Microsoft, Windows yöneticilerine NTLM'yi devre dışı bırakmalarını veya sunucularını Active Directory Sertifika Hizmetlerini kullanarak NTLM geçiş saldırılarını engelleyecek şekilde yapılandırmalarını önerir.

Şu anda Microsoft, Kerberos ile ilgili iki yeni özellik üzerinde çalışıyor. İlk özellik olan IAKerb (Kerberos kullanılarak başlangıç ​​ve uçtan uca kimlik doğrulama), Windows'un Kerberos aktarımı yapmasına olanak tanır DNS, netlogon veya gibi ek kurumsal hizmetlere ihtiyaç duymadan uzak yerel bilgisayarlar arasındaki iletiler DCLocator. İkinci özellik, Kerberos desteğini yerel hesaplara genişleten, Kerberos için yerel bir Anahtar Dağıtım Merkezi'ni (KDC) içerir.

Ayrıca Microsoft, yöneticilere kendi ortamlarında NTLM kullanımını izleme ve kısıtlama konusunda daha fazla esneklik sağlayarak NTLM kontrollerini geliştirmeyi planlıyor.

Tüm bu değişiklikler varsayılan olarak etkin olacak ve çoğu senaryo için yapılandırma gerektirmeyecek. belirtilmiş şirket tarafından. NTLM, mevcut sistemlerle uyumluluğu sürdürmek için bir geri dönüş seçeneği olarak mevcut olmaya devam edecek.