Microsoft постепенно премахва NTLM в полза на Kerberos за по-силно удостоверяване

14 октомври 2023 гредакцияУдостоверяване/сигурност на крайната точка

Microsoft обяви това Планове За да премахнете NT LAN Manager (NTLM) в Windows 11 в бъдеще, тъй като се фокусира върху алтернативни методи за удостоверяване и подобрена сигурност.

„Фокусът е върху подобряването на протокола за удостоверяване Kerberos, който е по подразбиране от 2000 г., и намаляването на зависимостта от NT LAN Manager (NTLM)“, каза технологичният гигант. „Новите функции на Windows 11 включват необработено удостоверяване, преминаващо удостоверяване с помощта на Kerberos (IAKerb) и локален център за разпространение на ключове (Център за контрол на заболяванията) за Kerberos.“

IAKerb позволява на клиентите да се удостоверяват с Kerberos в различни мрежови топологии. Втората функция, Kerberos Local Key Distribution Center (KDC), разширява поддръжката на Kerberos за локални акаунти.

NTLM е представен за първи път през 90-те години Набор от протоколи за сигурност Тя има за цел да осигури удостоверяване, цялост и поверителност на потребителите. Това е инструмент за единично влизане (SSO), базиран на протокол за отговор на предизвикателство, който доказва на сървъра или домейн контролера, че потребителят знае паролата, свързана с акаунта.

Оттогава той е заменен от друг протокол за удостоверяване, наречен Kerberos след пускането на Windows 2000, въпреки че NTLM продължава да се използва като резервен механизъм.

„Основната разлика между NTLM и Kerberos е как двата протокола управляват удостоверяването. NTLM разчита на трипосочно ръкостискане между клиент и сървър за удостоверяване на потребителя“, CrowdStrike Бележки. „Kerberos използва процес от две части, който използва услуга за предоставяне на билети или център за разпределение на ключове.“

Друго важно разграничение е, че докато NTLM разчита на хеширане на пароли, Kerberos използва криптиране.

Освен NTLM Скрити уязвимости в сигурността,Технологията е станала уязвима за релейни атаки, което може да позволи на лоши актьори Прихващане на опити за удостоверяване И печелете Неразрешено влизане за мрежови ресурси.

Microsoft каза, че също така работи за справяне с твърдо кодирани екземпляри на NTLM в своите компоненти в подготовка за прехода към евентуално деактивиране на NTLM в Windows 11, добавяйки, че прави подобрения, които насърчават използването на Kerberos вместо NTLM.

„Всички тези промени ще бъдат активирани по подразбиране и няма да изискват конфигурация за повечето сценарии,” каза Матю Балко, главен директор по продуктово управление на Microsoft за предприятия и сигурност. „NTLM ще остане достъпен като алтернатива за поддържане на текущата съвместимост.“