Microsoft официально отказалась от NTLM-аутентификации в Windows и на серверах Windows, заявив, что разработчики должны перейти на Kerberos или Negotiation-аутентификацию, чтобы избежать проблем в будущем.
New Technology LAN Manager, более известный как NTLM, – это протокол аутентификации, впервые выпущенный в 1993 году как часть Windows NT 3.1 и как преемник протокола LAN Manager (LM).
Microsoft заявляет, что протоколы NTLM, которые широко используются и сегодня, с июня больше не находятся в активной разработке и будут постепенно отменены в пользу более безопасных альтернатив.
Этот шаг не удивителен, поскольку Microsoft впервые объявила о своем намерении отказаться от устаревшего протокола аутентификации в октябре 2023 года, призвав администраторов перейти на Kerberos и другие современные системы аутентификации, такие как Negotiate.
NTLM активно использовался в кибератаках, известных как «NTLM Relay», когда контроллеры домена Windows захватывались путем принуждения их к аутентификации на вредоносных серверах.
Несмотря на то, что Microsoft ввела новые меры защиты от этих атак, такие как подписание безопасности SMB, атаки на аутентификацию NTLM продолжаются.
Например, хэши паролей по-прежнему могут быть похищены и использованы в атаках типа «передай хэш», получены в ходе фишинговых атак или извлечены непосредственно из украденных баз данных Active Directory или памяти сервера. Затем злоумышленники могут взломать хэши, чтобы получить пароль пользователя в открытом виде.
Помимо слабого шифрования, используемого в NTLM, по сравнению с более современными протоколами, такими как Kerberos, протокол отличается низкой производительностью, требуя больше обходов сети, и не поддерживает технологии единого входа (SSO).
При всем этом NTLM считается сильно устаревшим по сравнению со стандартами безопасности и аутентификации 2024 года, поэтому Microsoft отказывается от него.
Процесс постепенного отказа от NTLM
NTLM по-прежнему будет работать в следующем выпуске Windows Server и следующем ежегодном выпуске Windows. Тем не менее, пользователям и разработчикам приложений следует перейти на „Negotiate“, который сначала пытается аутентифицироваться с помощью Kerberos и возвращается к NTLM только в случае необходимости.
Microsoft рекомендует системным администраторам использовать инструменты аудита, чтобы понять, как NTLM используется в их среде, и выявить все случаи, которые необходимо учесть при составлении плана перехода.
Для большинства приложений замена NTLM на Negotiate может быть достигнута путем однострочного изменения запроса „AcquireCredentialsHandle“ в интерфейсе Security Support Provider Interface (SSPI). Однако есть исключения, когда могут потребоваться более серьезные изменения.
В Negotiate встроен обратный переход на NTLM для смягчения проблем совместимости в переходный период.
Администраторы, столкнувшиеся с проблемами аутентификации, могут ознакомиться с руководством по устранению неполадок Kerberos от Microsoft.
Комментарии (0)