Microsoft vuole eventualmente disabilitare l’autenticazione NTLM in Windows 11

Le varie versioni di Windows utilizzano Kerberos come protocollo di autenticazione principale da oltre 20 anni. Tuttavia, in alcune circostanze, il sistema operativo deve utilizzare un altro metodo, NTLM (NT LAN Manager). Oggi, Microsoft ha annunciato che sta espandendo l’uso di Kerberos, con il piano di abbandonare del tutto l’uso di NTLM.

In un post sul blog , Microsoft ha affermato che NTLM continua a essere utilizzato da alcune aziende e organizzazioni per l’autenticazione di Windows perché “non richiede una connessione di rete locale a un controller di dominio”. Inoltre è “l’unico protocollo supportato quando si utilizzano account locali”. e “funziona quando non sai chi è il server di destinazione”

Microsoft afferma:

Questi vantaggi hanno portato ad alcune applicazioni e servizi a codificare l’uso di NTLM invece di provare a utilizzare altri protocolli di autenticazione più moderni come Kerberos. Kerberos offre migliori garanzie di sicurezza ed è più estensibile di NTLM, motivo per cui ora è il protocollo predefinito preferito in Windows.

Il problema è che mentre le aziende possono disattivare NTLM per l’autenticazione, le app e i servizi cablati potrebbero riscontrare problemi. Ecco perché Microsoft ha aggiunto due nuove funzionalità di autenticazione a Kerberos.

Uno è l’autenticazione iniziale e pass through utilizzando Kerberos (IAKerb), che consentirà “a un client senza linea di vista verso un controller di dominio di autenticarsi attraverso un server che ha linea di vista”. L’altra è la chiave locale Centro di distribuzione (KDC) per Kerberos che aggiunge il supporto di autenticazione per gli account locali.

Queste modifiche vengono apportate in modo che, a lungo termine, Kerberos diventi l’unico protocollo di autenticazione di Windows. Microsoft ha dichiarato:

La riduzione dell’utilizzo di NTLM porterà infine alla sua disabilitazione in Windows 11. Stiamo adottando un approccio basato sui dati e monitorando le riduzioni nell’utilizzo di NTLM per determinare quando sarà sicuro disabilitarlo.

Una volta presa la decisione, Microsoft disabiliterà innanzitutto NTLM per impostazione predefinita, ma le aziende potranno riattivarlo nel caso in cui riscontrassero problemi di compatibilità. Microsoft non ha annunciato un calendario specifico per quando tutto ciò accadrà.