A Microsoft quer eventualmente desabilitar a autenticação NTLM no Windows 11

As várias versões do Windows usam Kerberos como principal protocolo de autenticação há mais de 20 anos. No entanto, em certas circunstâncias, o sistema operacional precisa usar outro método, NTLM (NT LAN Manager). Hoje, a Microsoft anunciou que está expandindo o uso do Kerberos, com o plano de eventualmente abandonar completamente o uso do NTLM.

Em uma postagem no blog , a Microsoft afirmou que o NTLM continua a ser usado por algumas empresas e organizações para autenticação do Windows porque “não requer conexão de rede local a um controlador de domínio”. e “funciona quando você não sabe quem é o servidor alvo”

A Microsoft afirma:

Esses benefícios levaram alguns aplicativos e serviços a codificar o uso de NTLM em vez de tentar usar outros protocolos de autenticação mais modernos, como o Kerberos. O Kerberos oferece melhores garantias de segurança e é mais extensível que o NTLM, e é por isso que agora é o protocolo padrão preferido no Windows.

O problema é que, embora as empresas possam desativar o NTLM para autenticação, esses aplicativos e serviços conectados podem enfrentar problemas. É por isso que a Microsoft adicionou dois novos recursos de autenticação ao Kerberos.

Uma é a autenticação inicial e de passagem usando Kerberos (IAKerb), que permitirá que “um cliente sem linha de visão para um controlador de domínio se autentique por meio de um servidor que tenha linha de visão”. Centro de Distribuição (KDC) para Kerberos que adiciona suporte de autenticação para contas locais.

Essas alterações estão sendo feitas para que, no longo prazo, o Kerberos seja o único protocolo de autenticação do Windows. A Microsoft declarou:

A redução do uso de NTLM culminará na desativação dele no Windows 11. Estamos adotando uma abordagem baseada em dados e monitorando as reduções no uso de NTLM para determinar quando será seguro desativá-lo.

Assim que a decisão for tomada, a Microsoft primeiro desabilitará o NTLM por padrão, mas as empresas poderão reativá-lo caso encontrem problemas de compatibilidade. A Microsoft não anunciou um cronograma específico para quando tudo isso acontecerá.