微软上周透露,将逐渐减少于Windows 11中使用New Technology LAN Manager(NTLM)身份验证安全协议的必要性,最终将于Windows 11中关闭NTLM。
NTLM是微软于1990年代所推出的安全协议,是个基于挑战与响应的身份验证协议,让Windows用户可向远程系统证明自己的身份。 此一早期技术存在许多安全风险,微软也在2000年以新的Kerberos作为Windows的预设身份验证协议,但在某些无法使用Kerberos的场景时,仍可回归至NTLM。
NTLM具备许多优势,包括与域控制器之间不需本地端网络链接,是使用本地账户时唯一支持的协议,在不知目标服务器时也能运作等,而让一些应用程序或服务直接硬编码NTLM,而不使用其它较安全的协议。 然而,随着诸如ShadowCoerce或PetitPotam等各种可绕过NTLM之中继攻击的现身,微软开始扩张Kerberos的能力,以让它支持部分的NTLM特性,降低组织对NTLM的需求。
其中的IAKerb允许客户在更为异质的网络拓扑中以Kerberos进行身份验证,它利用Negotiate验证扩充功能,并允许Windows验证堆叠来代理Kerberos消息。 另也于本地电脑的安全帐户管理员中建立了Kerberos的密钥分配中心(Key Distribution Center,KDC),以让用户可以通过Kerberos来完成本地用户账号的远程身份验证。
此外,微软也正修补既有Windows组件中硬编码NTLM的实例,让这些组件使用Negotiate协议,就可以Kerberos取代NTLM。
微软表示,上述的所有变更都将成为Windows 11的预设值,在大多数的情况下不需要特别配置,而NTLM也会继续成为Kerberos无法运作时的替代选项,以维持兼容性。
除了新增Kerberos的功能,微软亦延伸NTLM的管理控制能力,以让管理人员得以更灵活地追踪与封锁环境中所使用的NTLM。
微软的种种减少NTLM使用情境的措施,都是为了达到于Windows 11中关闭NTLM的最终目的,将采行资料驱动的作法并监控NTML的使用量,以决定何时才是关闭NTLM的安全时机。 不过,就算于默认中关闭了NTLM,微软亦会新增控制选项以让组织于必要时启用NTLM。
