Microsoft veut à terme désactiver l’authentification NTLM dans Windows 11

Les différentes versions de Windows utilisent Kerberos comme principal protocole d’authentification depuis plus de 20 ans. Cependant, dans certaines circonstances, le système d’exploitation doit utiliser une autre méthode, NTLM (NT LAN Manager). Aujourd’hui, Microsoft a annoncé qu’il étendait l’utilisation de Kerberos, avec l’intention d’abandonner à terme l’utilisation de NTLM.

Dans un article de blog , Microsoft a déclaré que NTLM continue d’être utilisé par certaines entreprises et organisations pour l’authentification Windows car il « ne nécessite pas de connexion réseau locale à un contrôleur de domaine ». C’est également « le seul protocole pris en charge lors de l’utilisation de comptes locaux ». et ça « marche quand on ne sait pas qui est le serveur cible »

Microsoft déclare :

Ces avantages ont conduit certaines applications et services à coder en dur l’utilisation de NTLM au lieu d’essayer d’utiliser d’autres protocoles d’authentification plus modernes comme Kerberos. Kerberos offre de meilleures garanties de sécurité et est plus extensible que NTLM, c’est pourquoi il s’agit désormais d’un protocole par défaut préféré dans Windows.

Le problème est que même si les entreprises peuvent désactiver NTLM pour l’authentification, ces applications et services câblés pourraient rencontrer des problèmes. C’est pourquoi Microsoft a ajouté deux nouvelles fonctionnalités d’authentification à Kerberos.

L’une est l’authentification initiale et directe utilisant Kerberos (IAKerb), qui permettra « à un client sans visibilité directe sur un contrôleur de domaine de s’authentifier via un serveur qui a une visibilité directe. » L’autre est la clé locale. Centre de distribution (KDC) pour Kerberos qui ajoute la prise en charge de l’authentification pour les comptes locaux.

Ces changements ont pour but qu’à long terme, Kerberos soit le seul protocole d’authentification Windows. Microsoft a déclaré :

La réduction de l’utilisation de NTLM aboutira finalement à sa désactivation dans Windows 11. Nous adoptons une approche basée sur les données et surveillons les réductions de l’utilisation de NTLM pour déterminer quand il sera sûr de le désactiver.

Une fois la décision prise, Microsoft désactivera d’abord NTLM par défaut, mais les entreprises pourront le réactiver au cas où elles rencontreraient des problèmes de compatibilité. Microsoft n’a pas annoncé de calendrier précis quant au moment où tout cela se produira.