Microsoft, daha güçlü kimlik doğrulama için NTLM’yi aşamalı olarak Kerberos’a bırakıyor

14 Ekim 2023haber odasıKimlik doğrulama/uç nokta güvenliği

Microsoft bunu duyurdu Planlar NT LAN Manager’ı ortadan kaldırmak için (NTLM) alternatif kimlik doğrulama yöntemlerine ve gelişmiş güvenliğe odaklandığı için gelecekte Windows 11’de kullanıma sunulacaktır.

Teknoloji devi, “Odak noktası, 2000’den bu yana varsayılan olan Kerberos kimlik doğrulama protokolünü geliştirmek ve NT LAN Manager’a (NTLM) olan bağımlılığı azaltmaktır” dedi. “Windows 11’in yeni özellikleri arasında ham kimlik doğrulama, Kerberos (IAKerb) kullanılarak doğrudan kimlik doğrulama ve yerel anahtar dağıtım merkezi (Hastalık Kontrol Merkezi) Kerberos için.”

IAKerb, istemcilerin çeşitli ağ topolojileri üzerinden Kerberos ile kimlik doğrulaması yapmasına olanak tanır. İkinci özellik olan Kerberos Yerel Anahtar Dağıtım Merkezi (KDC), yerel hesaplar için Kerberos desteğini genişletir.

NTLM ilk olarak 1990’larda tanıtıldı Bir dizi güvenlik protokolü Kullanıcılara kimlik doğrulama, bütünlük ve gizlilik sağlamayı amaçlamaktadır. Kullanıcının hesapla ilişkili parolayı bildiğini sunucuya veya etki alanı denetleyicisine kanıtlayan, sorgulama yanıt protokolünü temel alan tek oturum açma (SSO) aracıdır.

NTLM bir geri dönüş mekanizması olarak kullanılmaya devam etmesine rağmen, Windows 2000’in piyasaya sürülmesinden bu yana Kerberos adı verilen başka bir kimlik doğrulama protokolü ile değiştirildi.

“NTLM ile Kerberos arasındaki temel fark, iki protokolün kimlik doğrulamayı nasıl yönettiğidir. NTLM, kullanıcının kimliğini doğrulamak için istemci ve sunucu arasındaki üç yönlü el sıkışmaya dayanır,” CrowdStrike Notlar. “Kerberos, bilet verme hizmetinden veya anahtar dağıtım merkezinden yararlanan iki parçalı bir süreç kullanıyor.”

Bir diğer önemli ayrım, NTLM’nin şifre karma işlemine dayanmasına rağmen Kerberos’un şifrelemeyi kullanmasıdır.

NTLM’nin yanı sıra Gizli güvenlik açıkları,Teknoloji, kötü aktörlerin izin vermesine neden olabilecek aktarma saldırılarına karşı savunmasız hale geldi. Kimlik doğrulama girişimlerini ele geçirmek Ve kazan Yetkisiz giriş ağ kaynakları için.

Microsoft ayrıca, Windows 11’de NTLM’yi eninde sonunda devre dışı bırakmaya geçişe hazırlık amacıyla bileşenlerinde sabit kodlanmış NTLM örneklerini ele almaya çalıştığını ve NTLM yerine Kerberos kullanımını teşvik eden iyileştirmeler yaptığını da sözlerine ekledi.

Microsoft’un kurumsal ve güvenlikten sorumlu baş ürün yönetimi sorumlusu Matthew Balko, “Bu değişikliklerin tümü varsayılan olarak etkin olacak ve çoğu senaryo için yapılandırma gerektirmeyecek” dedi. “NTLM, mevcut uyumluluğu korumak için bir alternatif olarak mevcut olmaya devam edecek.”