Microsoft объявила, что отключит протокол аутентификации NTLM в Windows 11. Его заменил Kerberos, который является текущим протоколом аутентификации по умолчанию во всех версиях выше Windows 2000.
NTLM (New Technology LAN Manager) — это семейство протоколов, используемых для аутентификации удалённых пользователей и обеспечения безопасности сеансов. Злоумышленники широко использовали его в атаках с ретрансляцией, когда уязвимые сетевые устройства (включая контроллеры домена) проходили аутентификацию на подконтрольных им серверах, повышая привилегии для получения полного контроля над доменом Windows. NTLM по-прежнему используется на серверах Windows, что позволяет злоумышленникам использовать такие уязвимости, как ShadowCoerce, DFSCoerce, PetitPotam и RemotePotato0, предназначенные для обхода средств защиты от атак с ретрансляцией. Кроме того, в случае с NTLM возможны атаки с передачей хэша. Злоумышленники могут использовать его для аутентификации в качестве скомпрометированного пользователя, получая таким образом доступ к конфиденциальным данным.
Microsoft рекомендует администраторам Windows либо отключить NTLM, либо настроить свои серверы для блокировки атак ретрансляции NTLM с помощью служб сертификации Active Directory.
Сейчас компания работает над двумя новыми функциями Kerberos: IAKerb (начальная и сквозная аутентификация с использованием Kerberos) и Local KDC (локальный центр распространения ключей). IAKerb позволит Windows передавать сообщения Kerberos между удалёнными локальными компьютерами без необходимости добавлять поддержку других корпоративных служб, таких как DNS, netlogon или DCLocator. Вторая функция включает в себя локальный центр распространения ключей (KDC) для Kerberos, который расширяет поддержку Kerberos на локальные учётные записи.
Microsoft также планирует расширить средства управления NTLM, предоставив администраторам повышенную гибкость в мониторинге и ограничении использования NTLM в своих средах.
«Все эти изменения будут включены по умолчанию и не потребуют настройки для большинства сценариев. NTLM по-прежнему будет доступен в качестве запасного варианта для поддержания существующей совместимости», — отметили в компании.
