Microsoft оголосила, що відключить протокол автентифікації NTLM у Windows 11. Його замінив Kerberos, який є поточним протоколом автентифікації за умовчанням у всіх версіях вище Windows 2000.

NTLM (New Technology LAN Manager) – це сімейство протоколів, які використовуються для автентифікації віддалених користувачів та забезпечення безпеки сеансів. Зловмисники широко використовували його в атаках з ретрансляцією, коли вразливі мережеві пристрої (включаючи контролери домену) проходили автентифікацію на підконтрольних їм серверах, підвищуючи привілеї отримання повного контролю над доменом Windows. NTLM, як і раніше, використовується на серверах Windows, що дозволяє зловмисникам використовувати такі вразливості, як ShadowCoerce, DFSCoerce, PetitPotam та RemotePotato0, призначені для обходу засобів захисту від атак з ретрансляцією. Крім того, у разі NTLM можливі атаки з передачею хеша. Зловмисники можуть використовувати його для аутентифікації як компрометованого користувача, отримуючи таким чином доступ до конфіденційних даних. 

Microsoft рекомендує адміністраторам Windows або вимкнути NTLM або налаштувати свої сервери для блокування атак ретрансляції NTLM за допомогою служб сертифікації Active Directory.

Зараз компанія працює над двома новими функціями Kerberos: IAKerb (початкова та наскрізна автентифікація з використанням Kerberos) та Local KDC (локальний центр розповсюдження ключів). IAKerb дозволить Windows передавати повідомлення Kerberos між віддаленими локальними комп’ютерами без необхідності додавати підтримку до інших корпоративних служб, таких як DNS, netlogon або DCLocator. Друга функція включає локальний центр розповсюдження ключів (KDC) для Kerberos, який розширює підтримку Kerberos на локальні облікові записи.

Microsoft також планує розширити засоби управління NTLM, надавши адміністраторам підвищену гнучкість у моніторингу та обмеження використання NTLM у своїх середовищах.

«Усі ці зміни будуть включені за умовчанням і не вимагатимуть налаштування для більшості сценаріїв. NTLM, як і раніше, буде доступний як запасний варіант для підтримки існуючої сумісності», — зазначили в компанії.