微軟上周透露,將逐漸減少於Windows 11中使用New Technology LAN Manager(NTLM)身份驗證安全協議的必要性,最終將於Windows 11中關閉NTLM。
NTLM是微軟於1990年代所推出的安全協議,是個基於挑戰與回應的身份驗證協議,讓Windows用戶可向遠程系統證明自己的身份。該早期技術存在許多安全風險,微軟也在2000年以新的Kerberos作為Windows的默認身份驗證協議,但在某些無法使用Kerberos的場景時,仍可回歸至NTLM。
NTLM具備許多優勢,包括與域名控制器之間不需本地端網路連接,是使用本機賬戶時唯一支持的協議,在不知目標伺服器時也能運行等,而讓一些應用程序或服務直接硬編碼NTLM,而不使用其它較安全的協議。然而,隨著諸如ShadowCoerce或PetitPotam等各種可繞過NTLM之中繼攻擊的現身,微軟開始擴張Kerberos的能力,以讓它支持部分的NTLM特性,降低組織對NTLM的需求。
其中的IAKerb允許客戶在更為異質的網路拓撲中以Kerberos進行身份驗證,它利用Negotiate驗證擴展功能,並允許Windows驗證堆棧來代理Kerberos消息。另也於本機電腦的安全賬戶管理員中創建了Kerberos的密鑰分配中心(Key Distribution Center,KDC),以讓用戶可以通過Kerberos來完成本機用戶賬號的遠程身份驗證。
此外,微軟也正修補既有Windows組件中硬編碼NTLM的實例,讓這些組件使用Negotiate協議,就可以Kerberos取代NTLM。
微軟表示,上述的所有變更都將成為Windows 11的默認值,在大多數的情況下不需要特別配置,而NTLM也會繼續成為Kerberos無法運行時的替代選項,以維持兼容性。
除了添加Kerberos的功能,微軟也延伸NTLM的管理控制能力,以讓管理人員得以更靈活地關注與封鎖環境中所使用的NTLM。
微軟的種種減少NTLM使用場景的措施,都是為了達到於Windows 11中關閉NTLM的最終目的,將採行數據驅動的做法並監控NTML的使用量,以決定何時才是關閉NTLM的安全時機。不過,就算於默認中關閉了NTLM,微軟也會添加控制選項以讓組織於必要時激活NTLM。
