A Microsoft fokozatosan megszünteti az NTLM-t a Kerberos javára az erősebb hitelesítés érdekében

2023. október 14hírszerkesztőségHitelesítés/végpont biztonság

A Microsoft ezt bejelentette Tervek Az NT LAN Manager megszüntetéséhez (NTLM) a jövőben a Windows 11-ben, mivel az alternatív hitelesítési módszerekre és a fokozott biztonságra összpontosít.

„A hangsúly a Kerberos hitelesítési protokoll fejlesztésén van, amely 2000 óta az alapértelmezett, és az NT LAN Managertől (NTLM) való függés csökkentésén” – mondta a technológiai óriás. „A Windows 11 új szolgáltatásai közé tartozik a nyers hitelesítés, a Kerberos (IAKerb) használatával történő átmenő hitelesítés, valamint a helyi kulcselosztó központ (Járványügyi és Betegségmegelőzési Központ) Kerberos számára.”

Az IAKerb lehetővé teszi az ügyfelek számára, hogy a Kerberos segítségével hitelesítsenek különféle hálózati topológiákon. A második szolgáltatás, a Kerberos Local Key Distribution Center (KDC) kiterjeszti a Kerberos támogatást a helyi fiókokra.

Az NTLM-t először az 1990-es években vezették be Biztonsági protokollok halmaza Célja, hogy hitelesítést, integritást és bizalmasságot biztosítson a felhasználók számára. Ez egy egyszeri bejelentkezési (SSO) eszköz, amely egy kihívás-válasz protokollon alapul, amely bizonyítja a kiszolgálónak vagy a tartományvezérlőnek, hogy a felhasználó ismeri a fiókhoz társított jelszót.

A Windows 2000 megjelenése óta azóta egy másik Kerberos hitelesítési protokoll váltotta fel, bár az NTLM továbbra is tartalék mechanizmusként használatos.

„A fő különbség az NTLM és a Kerberos között az, hogy a két protokoll hogyan kezeli a hitelesítést. Az NTLM a kliens és a szerver közötti háromirányú kézfogásra támaszkodik a felhasználó hitelesítéséhez” – mondta CrowdStrike. Megjegyzések. „A Kerberos két részből álló folyamatot használ, amely egy jegykiadó szolgáltatást vagy kulcselosztó központot használ.”

Egy másik fontos különbség, hogy míg az NTLM a jelszókivonatoláson alapul, a Kerberos titkosítást használ.

Az NTLM mellett Lappangó biztonsági rések,A technológia sebezhetővé vált a továbbító támadásokkal szemben, ami rossz szereplőket tesz lehetővé A hitelesítési kísérletek elfogása És keresni Jogosulatlan belépés hálózati erőforrásokhoz.

A Microsoft közölte, hogy azon is dolgozik, hogy az NTLM keménykódolt példányait kezelje összetevőiben, felkészülve az NTLM végső letiltására a Windows 11 rendszerben, és hozzátette, hogy olyan fejlesztéseket hajt végre, amelyek ösztönzik a Kerberos használatát az NTLM helyett.

„Ezek a változtatások alapértelmezés szerint engedélyezve lesznek, és a legtöbb esetben nem igényelnek konfigurálást” – mondta Matthew Balko, a Microsoft vállalati és biztonsági termékkezelési igazgatója. „Az NTLM továbbra is elérhető marad a jelenlegi kompatibilitás fenntartása érdekében.”