Отказ от NTLM и новые функции защиты: Microsoft повышает безопасность Windows 11

Отказ от NTLM и новые функции защиты: Microsoft повышает безопасность Windows 11

Уже в этом году мир увидит обновленную Windows 11 с совершенной системой защиты.

image

Microsoft официально подтвердила планы по отказу от NT LAN Manager (NTLM) в Windows 11 во второй половине 2024 года, анонсировав ряд новых мер безопасности для усиления защиты операционной системы.

В заявлении компании подчеркивается, что отказ от NTLM давно был желаемым шагом со стороны сообщества безопасности, так как это укрепит аутентификацию пользователей.

О первоначальном решении заменить NTLM на Kerberos для аутентификации было объявлено еще в октябре 2023 года. Недостаточная поддержка криптографических методов, таких как AES или SHA-256, делает NTLM уязвимым для атак, в частности для атак NTLM Relay.

Среди других изменений в Windows 11 — включение защиты Local Security Authority (LSA) по умолчанию для новых потребительских устройств и использование Virtualization-based Security (VBS) для защиты Windows Hello.

Также Smart App Control, защищающий пользователей от запуска неподписанных приложений, получил обновление – теперь инструмент с помощью ИИ будет определять безопасность приложений и блокировать неизвестные или вредоносные программы. В дополнение к Smart App Control была представлена новая система Trusted Signing, позволяющая разработчикам подписывать свои приложения и упрощать процесс подписи сертификатов.

Среди других значимых улучшений безопасности:

  • Изоляция приложений Win32, предназначенная для ограничения ущерба в случае компрометации приложения путем создания границы безопасности между приложением и операционной системой.
  • Ограничение злоупотребления привилегиями администратора с запросом явного одобрения пользователя.
  • VBS-анклавы для сторонних разработчиков для создания доверенных вычислительных сред.
  • Windows Protected Print Mode (WPP), представленный в декабре 2023 года, станет режимом печати по умолчанию, что позволит запускать Диспетчер очереди печати как ограниченную службу и значительно уменьшить привлекательность службы для злоумышленников.

Компания также объявила, что больше не будет доверять сертификатам аутентификации серверов TLS с RSA-ключами менее 2048 бит из-за «развития вычислительных мощностей и криптоанализа».

Среди новых функций безопасности также значится Zero Trust Domain Name System ( ZTDNS ), который поможет коммерческим клиентам ограничить доступ Windows-устройств только к одобренным сетевым адресам по доменному имени.

Улучшения стали ответом на критику методов безопасности Microsoft, позволивших хакерам из Китая взломать Exchange Online. Недавний отчет Совета по кибербезопасности США (CSRB) отметил необходимость пересмотра культуры безопасности компании.

Наш контент расширяется быстрее Вселенной!

Большой взрыв знаний каждый день в вашем телефоне

Подпишитесь, пока мы не вышли за горизонт событий