Microsoft планирует отказаться от аутентификации NTLM в Windows 11

Microsoft планирует отказаться от аутентификации NTLM в Windows 11

20 лет верности и вот решение: Microsoft говорит "пока" NTLM.

image

Microsoft объявила о намерении постепенно отказаться от аутентификации NTLM в Windows 11 в пользу Kerberos, внедряя новые резервные механизмы.

Безопасность является приоритетом для Microsoft, учитывая, что операционная система Windows используется более чем миллиардом пользователей. Более года назад компания объявила о намерении отказаться от Server Message Block version 1 (SMB1) в Windows 11 Home. Теперь же стало известно о планах заменить аутентификацию NT LAN Manager (NTLM) на Kerberos.

В подробной публикации Microsoft указывает, что Kerberos был основным протоколом аутентификации в Windows на протяжении более 20 лет. Однако в некоторых случаях он не справляется со своими задачами, что требует использования NTLM. Для решения этих проблем компания разрабатывает новые резервные механизмы в Windows 11, такие как Initial and Pass Through Authentication Using Kerberos (IAKerb) и локальный Key Distribution Center (KDC) для Kerberos.

NTLM по-прежнему популярен из-за ряда преимуществ, таких как отсутствие необходимости в локальном сетевом соединении с Domain Controller (DC). Однако, учитывая определенные ограничения Kerberos, многие организации не могут просто отключить устаревший протокол.

Для обхода ограничений Kerberos и его продвижения как более привлекательного варианта для разработчиков и организаций, Microsoft разрабатывает новые функции в Windows 11.

Первое улучшение - это IAKerb, публичное расширение, которое позволяет аутентификацию с DC через сервер, имеющий доступ к соответствующей инфраструктуре. Второе - это локальный KDC для Kerberos, который поддерживает локальные учетные записи.

В следующих этапах отказа от NTLM, Microsoft также будет модифицировать существующие компоненты Windows, которые жестко привязаны к использованию NTLM. Вместо этого они будут использовать протокол Negotiate.

Конечная цель - полностью отключить NTLM по умолчанию в Windows 11, если данные телеметрии позволят это сделать. На данный момент Microsoft рекомендует организациям следить за использованием NTLM и отслеживать дальнейшие обновления по этой теме.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь