Microsoft wil NTLM-authenticatie uiteindelijk uitschakelen in Windows 11

De verschillende versies van Windows gebruiken Kerberos al meer dan twintig jaar als het belangrijkste authenticatieprotocol. In bepaalde omstandigheden moet het besturingssysteem echter een andere methode gebruiken, NTLM (NT LAN Manager). Vandaag heeft Microsoft aangekondigd dat het het gebruik van Kerberos uitbreidt, met het plan om uiteindelijk het gebruik van NTLM helemaal te beëindigen.

In een blogpost stelt Microsoft dat NTLM nog steeds door sommige bedrijven en organisaties wordt gebruikt voor Windows-authenticatie omdat het “geen lokale netwerkverbinding met een domeincontroller vereist.” Het is ook “het enige protocol dat wordt ondersteund bij het gebruik van lokale accounts” en het “werkt als je niet weet wie de doelserver is”

Microsoft stelt:

Deze voordelen hebben ertoe geleid dat sommige toepassingen en diensten het gebruik van NTLM hardcoderen in plaats van te proberen andere, modernere authenticatieprotocollen zoals Kerberos te gebruiken. Kerberos biedt betere veiligheidsgaranties en is beter uitbreidbaar dan NTLM. Daarom is het nu een geprefereerd standaardprotocol in Windows.

Het probleem is dat hoewel bedrijven NTLM kunnen uitschakelen voor authenticatie, deze bekabelde apps en services problemen kunnen ondervinden. Daarom heeft Microsoft twee nieuwe authenticatiefuncties aan Kerberos toegevoegd.

De ene is initiële en pass-through-authenticatie met behulp van Kerberos (IAKerb), waarmee “een client zonder zichtlijn naar een domeincontroller kan authenticeren via een server die wel zichtlijn heeft.” De andere is de lokale sleutel. Distributiecentrum (KDC) voor Kerberos dat authenticatieondersteuning voor lokale accounts toevoegt.

Deze wijzigingen worden doorgevoerd zodat Kerberos op de lange termijn het enige Windows-authenticatieprotocol zal zijn. Microsoft verklaarde:

Het terugdringen van het gebruik van NTLM zal er uiteindelijk toe leiden dat het wordt uitgeschakeld in Windows 11. We kiezen voor een datagestuurde aanpak en monitoren de vermindering van het NTLM-gebruik om te bepalen wanneer het veilig is om het uit te schakelen.

Zodra de beslissing is genomen, zal Microsoft NTLM eerst standaard uitschakelen, maar bedrijven kunnen het opnieuw inschakelen voor het geval ze compatibiliteitsproblemen tegenkomen. Microsoft heeft geen specifiek tijdschema aangekondigd voor wanneer dit allemaal zal gebeuren.