Microsoft는 결국 Windows 11에서 NTLM 인증을 비활성화하려고 합니다.

다양한 버전의 Windows에서는 20년 넘게 Kerberos를 기본 인증 프로토콜로 사용해 왔습니다. 그러나 특정 상황에서는 OS가 NTLM(NT LAN Manager)이라는 다른 방법을 사용해야 합니다. 오늘 Microsoft는 Kerberos 사용을 확대하고 있으며 결국 NTLM 사용을 완전히 중단할 계획이라고 발표했습니다.

블로그 게시물에서 Microsoft는 NTLM이 “도메인 컨트롤러에 대한 로컬 네트워크 연결이 필요하지 않기 때문에” Windows 인증을 위해 일부 기업 및 조직에서 계속 사용하고 있다고 밝혔습니다. 또한 NTLM은 “로컬 계정을 사용할 때 지원되는 유일한 프로토콜”이기도 합니다. 그리고 “대상 서버가 누구인지 모를 때 작동합니다”

Microsoft는 다음과 같이 말합니다.

이러한 이점으로 인해 일부 응용 프로그램 및 서비스에서는 Kerberos와 같은 최신 인증 프로토콜을 사용하는 대신 NTLM 사용을 하드코딩하게 되었습니다. Kerberos는 NTLM보다 더 나은 보안을 보장하고 확장성이 뛰어나므로 이제 Windows에서 선호되는 기본 프로토콜입니다.

문제는 기업이 인증을 위해 NTLM을 끌 수 있지만 해당 내장 앱과 서비스에 문제가 발생할 수 있다는 것입니다. 이것이 바로 Microsoft가 Kerberos에 두 가지 새로운 인증 기능을 추가한 이유입니다.

하나는 Kerberos(IAKerb)를 사용한 초기 및 통과 인증으로, “도메인 컨트롤러에 대한 가시선이 없는 클라이언트가 가시선이 있는 서버를 통해 인증”할 수 있게 해줍니다. 다른 하나는 로컬 키입니다. 로컬 계정에 대한 인증 지원을 추가하는 Kerberos용 배포 센터(KDC)입니다.

장기적으로 Kerberos가 유일한 Windows 인증 프로토콜이 되도록 이러한 변경이 이루어지고 있습니다. 마이크로소프트는 다음과 같이 밝혔습니다.

NTLM 사용을 줄이면 궁극적으로 Windows 11에서 비활성화됩니다. 우리는 데이터 기반 접근 방식을 취하고 NTLM 사용량 감소를 모니터링하여 비활성화해도 안전한 시기를 결정합니다.

결정이 내려지면 Microsoft는 먼저 기본적으로 NTLM을 비활성화하지만 기업에서는 호환성 문제가 발생할 경우를 대비하여 NTLM을 다시 활성화할 수 있습니다. Microsoft는 이 모든 일이 언제 일어날지에 대한 구체적인 시간표를 발표하지 않았습니다.