13.10.23 14:07
Microsoft объявила о намерении постепенно отказаться от аутентификации NTLM в Windows 11 в пользу Kerberos, внедряя новые резервные механизмы.
Безопасность является приоритетом для Microsoft, учитывая, что операционная система Windows используется более чем миллиардом пользователей. Более года назад компания объявила о намерении отказаться от Server Message Block version 1 (SMB1) в Windows 11 Home. Теперь же стало известно о планах заменить аутентификацию NT LAN Manager (NTLM) на Kerberos, пишет Securitylab.
В подробной публикации Microsoft указывает, что Kerberos был основным протоколом аутентификации в Windows на протяжении более 20 лет. Однако в некоторых случаях он не справляется со своими задачами, что требует использования NTLM. Для решения этих проблем компания разрабатывает новые резервные механизмы в Windows 11, такие как Initial and Pass Through Authentication Using Kerberos (IAKerb) и локальный Key Distribution Center (KDC) для Kerberos.
NTLM по-прежнему популярен из-за ряда преимуществ, таких как отсутствие необходимости в локальном сетевом соединении с Domain Controller (DC). Однако, учитывая определенные ограничения Kerberos, многие организации не могут просто отключить устаревший протокол.
Для обхода ограничений Kerberos и его продвижения как более привлекательного варианта для разработчиков и организаций, Microsoft разрабатывает новые функции в Windows 11.
Первое улучшение - это IAKerb, публичное расширение, которое позволяет аутентификацию с DC через сервер, имеющий доступ к соответствующей инфраструктуре. Второе - это локальный KDC для Kerberos, который поддерживает локальные учетные записи.
В следующих этапах отказа от NTLM, Microsoft также будет модифицировать существующие компоненты Windows, которые жестко привязаны к использованию NTLM. Вместо этого они будут использовать протокол Negotiate.
Конечная цель - полностью отключить NTLM по умолчанию в Windows 11, если данные телеметрии позволят это сделать. На данный момент Microsoft рекомендует организациям следить за использованием NTLM и отслеживать дальнейшие обновления по этой теме.
