Ключевые выводы

• Microsoft постепенно отказывается от аутентификации пользователей NT LAN Manager (NTLM) в пользу Kerberos в Windows 11 для повышения безопасности.
• Компания разрабатывает новые резервные механизмы, такие как IAKerb и локальный центр распространения ключей (KDC) для Kerberos, чтобы устранить ограничения протокола.
• Microsoft совершенствует средства управления NTLM и модифицирует компоненты Windows для использования протокола Negotiate с целью в конечном итоге отключить NTLM по умолчанию в Windows 11.

Безопасность находится на переднем крае для Microsoft, когда речь идет о Windows, которая, как ожидается, поскольку ее операционную систему используют более миллиарда пользователей. Более года назад компания объявила, что избавляется от версии 1 Server Message Block (SMB1) в Windows 11 Home, а сегодня объявила, что планирует постепенно отказаться от аутентификации пользователей NT LAN Manager (NTLM). Кербероса.

В подробном сообщении в блоге Microsoft объяснила, что Kerberos является протоколом аутентификации по умолчанию в Windows уже более 20 лет, но в некоторых сценариях он по-прежнему не работает, что требует использования NTLM. Чтобы справиться с этими крайними случаями, компания разрабатывает новые резервные механизмы в Windows 11, такие как начальная и сквозная аутентификация с использованием Kerberos (IAKerb) и локальный центр распространения ключей (KDC) для Kerberos.

NTLM по-прежнему популярен, поскольку он обладает множеством преимуществ, таких как отсутствие необходимости подключения к локальной сети к контроллеру домена (DC) и не требуется знать личность целевого сервера. Стремясь воспользоваться подобными преимуществами, разработчики делают выбор в пользу удобства и жестко программируют NTLM в приложениях и службах, даже не рассматривая более безопасные и расширяемые протоколы, такие как Kerberos. Однако, поскольку Kerberos имеет определенные ограничения для повышения безопасности и не учитывается в приложениях, в которых жестко запрограммирована проверка подлинности NTLM, многие организации не могут просто отключить устаревший протокол.

Чтобы обойти ограничения Kerberos и сделать его более привлекательным вариантом для разработчиков и организаций, Microsoft создает в Windows 11 новые функции, которые делают современный протокол жизнеспособным вариантом для приложений и служб.

Первым улучшением является IAKerb, общедоступное расширение, позволяющее выполнять аутентификацию с помощью контроллера домена через сервер, имеющий прямой доступ к вышеупомянутой инфраструктуре. Он использует стек проверки подлинности Windows для прокси-запросов Keberos, поэтому клиентскому приложению не требуется видимость контроллера домена. Сообщения криптографически шифруются и защищаются даже при передаче, что делает IAKerb подходящим механизмом в средах удаленной аутентификации.

Во-вторых, у нас есть локальный KDC для Kerberos для поддержки локальных учетных записей. При этом используются преимущества как IAKerb, так и диспетчера учетных записей безопасности (SAM) локального компьютера для передачи сообщений между удаленными локальными компьютерами без необходимости зависеть от DNS, входа в сеть или DCLocator. Фактически, это также не требует открытия какого-либо нового порта для связи. Важно отметить, что трафик шифруется с помощью блочного шифра Advanced Encryption Standard (AES).

В течение следующих нескольких этапов прекращения поддержки NTLM Microsoft также изменит существующие компоненты Windows, которые жестко запрограммированы для использования NTLM. Вместо этого они будут использовать протокол Negotiate, чтобы получить преимущества от IAKerb и локального KDC для Kerberos. NTLM по-прежнему будет поддерживаться в качестве резервного механизма для сохранения существующей совместимости. Тем временем Microsoft совершенствует существующие средства управления NTLM, чтобы предоставить организациям больше информации о том, где и как используется NTLM в их инфраструктуре, а также позволяя им более детально контролировать отключение протокола для конкретной службы.

Конечно, конечная цель — в конечном итоге отключить NTLM по умолчанию в Windows 11, если данные телеметрии поддерживают эту возможность. На данный момент Microsoft рекомендует организациям следить за использованием NTLM, проверять код, жестко запрограммировавший использование этого устаревшего протокола, и отслеживать дальнейшие обновления от редмондской технологической фирмы по этой теме.