Windows 11 elimineert NTLM-authenticatie ten gunste van Kerberos

Als onderdeel van een voortdurende inspanning om de veiligheid van Windows 11 te vergroten , zegt Microsoft dat het van plan is het New Technology LAN Manager (NTLM) authenticatieprotocol uit te schakelen en Kerberos verder in het besturingssysteem te implementeren.

Volgens het bedrijf bestaat het Kerberos-authenticatieprotocol al vele jaren en werkt het goed, maar niet in elk scenario. Dit is de reden dat NTLM nog steeds in gebruik is omdat er geen verbinding met de lokale Domain Controller (DC) nodig is. ), het werkt voor lokale accounts en vereist niet de identiteit van de doelserver.

Het probleem met deze huidige opzet is dat NTLM niet zo veilig is als Kerberos , en dat veel ontwikkelaars en organisaties de minder veilige authenticatiemethode hard in hun apps en services hebben gecodeerd.

Als gevolg van de beperkingen en veiligheidsrisico’s werkt Microsoft aan enkele verbeteringen om Kerberos aantrekkelijker te maken en NTLM vervolgens uit te schakelen op Windows 11.

De eerste verbetering is IAKerb, een nieuwe publieke extensie waarmee een apparaat zonder zichtlijn naar een DC kan authenticeren via een server met zichtlijn. Deze oplossing maakt gebruik van de Windows-authenticatiestack om de verzoeken van Kerberos te proxyen zonder dat de applicatie een gezichtslijn naar een domeincontroller nodig heeft. Ook biedt IAKerb encryptie en beveiliging tijdens de overdracht om replay- of relay-aanvallen te voorkomen, waardoor het geschikt is voor authenticatie op afstand.

De tweede verbetering is de implementatie van het Key Distribution Center (KDC) bovenop de Secure Account Manager (SAM) ter ondersteuning van lokale accountauthenticatie via Kerberos. Deze functie maakt gebruik van IAKerb om Windows in staat te stellen Kerberos-berichten door te geven tussen externe lokale computers zonder ondersteuning toe te voegen voor andere bedrijfsservices zoals DNS , netlogon of DCLocator of het openen van een nieuwe poort.

Net als de IAKerb gebruikt KDC Advanced Encryption Standard (AES)-codering om de beveiliging van het authenticatiemechanisme te verbeteren.

Daarnaast legde het bedrijf ook uit dat het zal werken aan bestaande componenten in het besturingssysteem die een hardgecodeerde implementatie van NTLM gebruiken, zodat ze het Negotiate-protocol zullen gebruiken om IAKerb en KDC voor Kerberos te gebruiken.

Het bedrijf zei ook dat deze veranderingen automatisch zullen worden geïmplementeerd zonder dat er configuratie nodig is (in de meeste scenario’s), en dat het protocol in de nabije toekomst zal worden ondersteund als een terugvalmechanisme. Het bedrijf werkt ook zijn NTLM-beheercontroles bij , zodat organisaties het protocol kunnen monitoren en controleren.