Microsoftは最終的にWindows 11でNTLM認証を無効にしたいと考えている

Windows のさまざまなバージョンでは、20 年以上にわたって主要な認証プロトコルとして Kerberos が使用されてきました。ただし、特定の状況では、OS は別の方法である NTLM (NT LAN Manager) を使用する必要があります。本日、Microsoft は Kerberos の使用を拡大し、最終的には NTLM の使用を完全に廃止する計画を発表しました。

Microsoft はブログ投稿で、NTLM は「ドメイン コントローラーへのローカル ネットワーク接続を必要としない」ため、一部の企業や組織で Windows 認証に引き続き使用されていると述べました。また、NTLM は「ローカル アカウントを使用する場合にサポートされる唯一のプロトコル」でもあります。そしてそれは「ターゲットサーバーが誰であるかわからない場合にも機能します」

マイクロソフトは次のように述べています。

これらの利点により、一部のアプリケーションやサービスでは、Kerberos などの他の最新の認証プロトコルを使用する代わりに、NTLM の使用をハードコーディングするようになりました。Kerberos は、NTLM よりも優れたセキュリティ保証を提供し、拡張性が高いため、現在 Windows で推奨されるデフォルト プロトコルとなっています。

問題は、企業が認証のために NTLM をオフにすることはできますが、有線接続されたアプリやサービスでは問題が発生する可能性があることです。そのため、Microsoft は 2 つの新しい認証機能を Kerberos に追加しました。

1 つは Kerberos を使用した初期認証とパススルー認証 (IAKerb) で、これにより「ドメイン コントローラーへの見通しのないクライアントが、見通しのあるサーバーを介して認証」できるようになります。もう 1 つはローカル キーです。 Kerberos の配布センター (KDC) は、ローカル アカウントの認証サポートを追加します。

これらの変更は、長期的には Kerberos が唯一の Windows 認証プロトコルになるように行われています。マイクロソフトは次のように述べています。

NTLM の使用を減らすと、最終的には Windows 11 で無効になります。私たちはデータ駆動型のアプローチを採用し、NTLM の使用量の減少を監視して、無効にしても安全な時期を判断しています。

この決定が下されると、Microsoft はまずデフォルトで NTLM を無効にしますが、企業は互換性の問題が発生した場合に備えて、NTLM を再度有効にすることができます。Microsoft は、これらすべてがいつ行われるかについての具体的なスケジュールを発表していません。