Firma Microsoft wycofuje NTLM na rzecz protokołu Kerberos w celu silniejszego uwierzytelniania

14 października 2023 rnewsroomUwierzytelnianie/bezpieczeństwo punktu końcowego

Microsoft ogłosił to Plany Aby wyeliminować Menedżera NT LAN (NTLM) w Windows 11 w przyszłości, ponieważ koncentruje się na alternatywnych metodach uwierzytelniania i zwiększonym bezpieczeństwie.

„Nacisk położony jest na udoskonalenie protokołu uwierzytelniania Kerberos, który jest domyślnym protokołem od 2000 r., i zmniejszenie zależności od NT LAN Manager (NTLM)” – powiedział gigant technologiczny. „Nowe funkcje systemu Windows 11 obejmują uwierzytelnianie surowe, uwierzytelnianie przekazywane przy użyciu protokołu Kerberos (IAKerb) oraz lokalne centrum dystrybucji kluczy (Center for Disease Control) dla protokołu Kerberos.”

IAKerb umożliwia klientom uwierzytelnianie za pomocą protokołu Kerberos w różnych topologiach sieci. Druga funkcja, Centrum dystrybucji kluczy lokalnych Kerberos (KDC), rozszerza obsługę protokołu Kerberos dla kont lokalnych.

NTLM został po raz pierwszy wprowadzony w latach 90 Zestaw protokołów bezpieczeństwa Ma na celu zapewnienie użytkownikom uwierzytelniania, integralności i poufności. Jest to narzędzie do pojedynczego logowania (SSO) oparte na protokole odpowiedzi na wyzwanie, które udowadnia serwerowi lub kontrolerowi domeny, że użytkownik zna hasło powiązane z kontem.

Od czasu wydania systemu Windows 2000 został on zastąpiony innym protokołem uwierzytelniania o nazwie Kerberos, chociaż NTLM nadal jest używany jako mechanizm awaryjny.

„Główną różnicą między NTLM i Kerberos jest sposób, w jaki te dwa protokoły zarządzają uwierzytelnianiem. NTLM opiera się na trójstronnym uzgadnianiu między klientem a serwerem w celu uwierzytelnienia użytkownika”, CrowdStrike Notatki. „Kerberos wykorzystuje dwuczęściowy proces, który wykorzystuje usługę przyznawania biletów lub centrum dystrybucji kluczy”.

Inną ważną różnicą jest to, że podczas gdy NTLM opiera się na mieszaniu haseł, Kerberos wykorzystuje szyfrowanie.

Oprócz NTL Ukryte luki w zabezpieczeniachTechnologia stała się podatna na ataki przekaźnikowe, które mogą pozwolić złym aktorom Przechwytywanie prób uwierzytelnienia I zarabiaj Nieautoryzowane wejście dla zasobów sieciowych.

Microsoft oświadczył, że pracuje również nad rozwiązaniem zakodowanych na stałe wystąpień protokołu NTLM w swoich komponentach w ramach przygotowań do przejścia do ostatecznego wyłączenia protokołu NTLM w systemie Windows 11, dodając, że wprowadza ulepszenia zachęcające do używania protokołu Kerberos zamiast NTLM.

„Wszystkie te zmiany będą domyślnie włączone i w większości scenariuszy nie będą wymagały konfiguracji” – powiedział Matthew Balko, dyrektor ds. zarządzania produktami w firmie Microsoft w zakresie przedsiębiorstw i bezpieczeństwa. „NTLM pozostanie dostępny jako alternatywa w celu utrzymania obecnej kompatybilności.”