710 подписчиков

Microsoft отказывается от протокола аутентификации Windows NTLM

6 июня 20246 июн 2024

2 мин

Microsoft официально отказалась от NTLM-аутентификации в Windows и на серверах Windows, заявив, что разработчики должны перейти на Kerberos или Negotiation-аутентификацию, чтобы избежать проблем в будущем. New Technology LAN Manager, более известный как NTLM, – это протокол аутентификации, впервые выпущенный в 1993 году как часть Windows NT 3.1 и как преемник протокола LAN Manager (LM). Microsoft заявляет, что протоколы NTLM, которые широко используются и сегодня, с июня больше не находятся в активной разработке и будут постепенно отменены в пользу более безопасных альтернатив. Этот шаг не удивителен, поскольку Microsoft впервые объявила о своем намерении отказаться от устаревшего протокола аутентификации в октябре 2023 года, призвав администраторов перейти на Kerberos и другие современные системы аутентификации, такие как Negotiate. NTLM активно использовался в кибератаках, известных как «NTLM Relay», когда контроллеры домена Windows захватывались путем принуждения их к аутентификации

New Technology LAN Manager, более известный как NTLM, – это протокол аутентификации, впервые выпущенный в 1993 году как часть Windows NT 3.1 и как преемник протокола LAN Manager (LM).

Microsoft заявляет, что протоколы NTLM, которые широко используются и сегодня, с июня больше не находятся в активной разработке и будут постепенно отменены в пользу более безопасных альтернатив.

Этот шаг не удивителен, поскольку Microsoft впервые объявила о своем намерении отказаться от устаревшего протокола аутентификации в октябре 2023 года, призвав администраторов перейти на Kerberos и другие современные системы аутентификации, такие как Negotiate.

NTLM активно использовался в кибератаках, известных как «NTLM Relay», когда контроллеры домена Windows захватывались путем принуждения их к аутентификации на вредоносных серверах.

Несмотря на то, что Microsoft ввела новые меры защиты от этих атак, такие как подписание безопасности SMB, атаки на аутентификацию NTLM продолжаются.

Например, хэши паролей по-прежнему могут быть похищены и использованы в атаках типа «передай хэш», получены в ходе фишинговых атак или извлечены непосредственно из украденных баз данных Active Directory или памяти сервера. Затем злоумышленники могут взломать хэши, чтобы получить пароль пользователя в открытом виде.

Помимо слабого шифрования, используемого в NTLM, по сравнению с более современными протоколами, такими как Kerberos, протокол отличается низкой производительностью, требуя больше обходов сети, и не поддерживает технологии единого входа (SSO).

При всем этом NTLM считается сильно устаревшим по сравнению со стандартами безопасности и аутентификации 2024 года, поэтому Microsoft отказывается от него.

Процесс постепенного отказа от NTLM

NTLM по-прежнему будет работать в следующем выпуске Windows Server и следующем ежегодном выпуске Windows. Тем не менее, пользователям и разработчикам приложений следует перейти на „Negotiate“, который сначала пытается аутентифицироваться с помощью Kerberos и возвращается к NTLM только в случае необходимости.

Microsoft рекомендует системным администраторам использовать инструменты аудита, чтобы понять, как NTLM используется в их среде, и выявить все случаи, которые необходимо учесть при составлении плана перехода.

Для большинства приложений замена NTLM на Negotiate может быть достигнута путем однострочного изменения запроса „AcquireCredentialsHandle“ в интерфейсе Security Support Provider Interface (SSPI). Однако есть исключения, когда могут потребоваться более серьезные изменения.

В Negotiate встроен обратный переход на NTLM для смягчения проблем совместимости в переходный период.

Администраторы, столкнувшиеся с проблемами аутентификации, могут ознакомиться с руководством по устранению неполадок Kerberos от Microsoft.

Подробнее

Гаджеты и электроника

5,73 млн интересуются