Microsoft chce ostatecznie wyłączyć uwierzytelnianie NTLM w systemie Windows 11
Różne wersje systemu Windows używają protokołu Kerberos jako głównego protokołu uwierzytelniania od ponad 20 lat. Jednak w pewnych okolicznościach system operacyjny musi używać innej metody, NTLM (NT LAN Manager). Firma Microsoft ogłosiła dzisiaj, że rozszerza wykorzystanie protokołu Kerberos i planuje ostatecznie całkowicie zrezygnować z protokołu NTLM.
W poście na blogu Microsoft stwierdził, że niektóre firmy i organizacje nadal używają protokołu NTLM do uwierzytelniania systemu Windows, ponieważ „nie wymaga połączenia sieci lokalnej z kontrolerem domeny”. Jest to także „jedyny protokół obsługiwany podczas korzystania z kont lokalnych” i „działa, gdy nie wiesz, kto jest serwerem docelowym”
Microsoft stwierdza:
Korzyści te doprowadziły do tego, że niektóre aplikacje i usługi na stałe korzystają z protokołu NTLM zamiast próbować korzystać z innych, bardziej nowoczesnych protokołów uwierzytelniania, takich jak Kerberos. Kerberos zapewnia lepsze gwarancje bezpieczeństwa i jest bardziej rozszerzalny niż NTLM, dlatego jest obecnie preferowanym protokołem domyślnym w systemie Windows.
Problem polega na tym, że chociaż firmy mogą wyłączyć protokół NTLM w celu uwierzytelnienia, w przypadku aplikacji i usług przewodowych mogą wystąpić problemy. Dlatego Microsoft dodał dwie nowe funkcje uwierzytelniania do protokołu Kerberos.
Jednym z nich jest uwierzytelnianie początkowe i przekazywane za pomocą protokołu Kerberos (IAKerb), które umożliwi „klientowi nie znajdującemu się w zasięgu wzroku kontrolera domeny uwierzytelnienie za pośrednictwem serwera, który ma w zasięgu wzroku”. Drugim jest klucz lokalny Centrum dystrybucji (KDC) dla protokołu Kerberos, które dodaje obsługę uwierzytelniania dla kont lokalnych.
Zmiany te wprowadzane są po to, aby w dłuższej perspektywie Kerberos był jedynym protokołem uwierzytelniania systemu Windows. Microsoft stwierdził:
Ograniczenie użycia protokołu NTLM ostatecznie zakończy się jego wyłączeniem w systemie Windows 11. Stosujemy podejście oparte na danych i monitorujemy ograniczenia użycia protokołu NTLM, aby określić, kiedy jego wyłączenie będzie bezpieczne.
Po podjęciu decyzji Microsoft najpierw domyślnie wyłączy protokół NTLM, ale firmy będą mogły go ponownie włączyć na wypadek problemów ze zgodnością. Microsoft nie ogłosił konkretnego harmonogramu, kiedy to wszystko nastąpi.
Dodaj komentarz