Microsoft quiere eventualmente deshabilitar la autenticación NTLM en Windows 11

Las distintas versiones de Windows han utilizado Kerberos como principal protocolo de autenticación durante más de 20 años. Sin embargo, en determinadas circunstancias, el sistema operativo debe utilizar otro método, NTLM (NT LAN Manager). Hoy, Microsoft anunció que está ampliando el uso de Kerberos, con el plan de eventualmente abandonar por completo el uso de NTLM.

En una publicación de blog , Microsoft afirmó que algunas empresas y organizaciones siguen utilizando NTLM para la autenticación de Windows porque «no requiere una conexión de red local a un controlador de dominio». También es «el único protocolo admitido cuando se utilizan cuentas locales». y «funciona cuando no sabes quién es el servidor de destino»

Microsoft afirma:

Estos beneficios han llevado a que algunas aplicaciones y servicios codifiquen el uso de NTLM en lugar de intentar utilizar otros protocolos de autenticación más modernos como Kerberos. Kerberos ofrece mejores garantías de seguridad y es más extensible que NTLM, por lo que ahora es el protocolo predeterminado preferido en Windows.

El problema es que, si bien las empresas pueden desactivar NTLM para la autenticación, esas aplicaciones y servicios cableados podrían experimentar problemas. Es por eso que Microsoft ha agregado dos nuevas funciones de autenticación a Kerberos.

Una es la autenticación inicial y de paso mediante Kerberos (IAKerb), que permitirá que «un cliente sin línea de visión hacia un controlador de dominio se autentique a través de un servidor que sí tiene línea de visión». La otra es la clave local. Centro de distribución (KDC) para Kerberos que agrega soporte de autenticación para cuentas locales.

Estos cambios se están realizando para que, a largo plazo, Kerberos sea el único protocolo de autenticación de Windows. Microsoft declaró:

Reducir el uso de NTLM culminará en última instancia con su desactivación en Windows 11. Estamos adoptando un enfoque basado en datos y monitoreando las reducciones en el uso de NTLM para determinar cuándo será seguro desactivarlo.

Una vez que se haya tomado la decisión, Microsoft primero deshabilitará NTLM de forma predeterminada, pero las empresas podrán volver a habilitarlo en caso de que encuentren problemas de compatibilidad. Microsoft no ha anunciado un calendario específico sobre cuándo sucederá todo esto.