Kończy się czas protokołu uwierzytelniania New Technology LAN Manager (NTLM) – w kolejnej wersji systemu Windows Server nie będzie on już obsługiwany. O tym podatnym protokole pisaliśmy wielokrotnie, między innymi w 2024 roku, w przez cały czas aktualnym i interesującym artykule – do sprawdzenia tutaj.
Co to jest NTLM?
NTML to wiekowy (jak na świat IT) protokół – w systemie Windows istnieje od ponad trzech dekad. Niestety jest podatny na różnego rodzaju ataki, w tym typu relay, replay i man-in-the-middle, w związku z czym Microsoft wycofał NTLM na rzecz silniejszych opcji, opartych na protokole Kerberos.
NTLM był szeroko stosowany w systemach Windows od lat 90. Oparty na haszach haseł (hash-based authentication), NTLM umożliwia uwierzytelnianie użytkowników w sieci lokalnej i aplikacjach korzystających z Windows Authentication.
Chociaż NTLM nie jest już aktualizowany ani udoskonalany, przez cały czas bywa używany, narażając organizacje na ataki z powodu braku uwierzytelniania, słabej kryptografii i ograniczonych danych diagnostycznych.
SecurityWeek cytuje Microsoft: „Pomimo wycofania NTLM przez cały czas jest powszechny w środowiskach, w których nowoczesne protokoły, takie jak Kerberos, nie są możliwe do zastosowania ze względu na zależności od starszych wersji, ograniczenia sieciowe lub zakorzenioną logikę aplikacji”.
Celem giganta technologicznego jest całkowite usunięcie NTLM. Firma opublikowała właśnie trzy etapy działania, aby domyślnie wyłączyć go w systemie Windows Server i klientach Windows.
Etap I – Audyt stanu obecnego
Pierwszy etap zakłada sprawdzenie środowiska. Organizacje mogą korzystać z ulepszonych funkcji audytu NTLM w systemach Windows Server 2025 i Windows 11 w wersji 24H2 oraz nowszych, aby zrozumieć, gdzie i dlaczego protokół ten jest używany.
Etap II – Publikacja rozwiązań
Kolejny etap będzie polegał na pokonaniu przeszkód napotykanych podczas eliminacji NTLM, związanych z kontrolerami domeny, uwierzytelnianiem kont lokalnych i zakodowanym na stałe użyciem NTLM. Rozwiązania zostaną wydane w drugiej połowie tego roku dla wspomnianych już systemów: Windows Server 2025 lub Windows 11 w wersji 24H2 i nowszych.
Administratorzy będą mieli dostęp do IAKerb i lokalnego Centrum Dystrybucji Kluczy (KDC) (wersja przedpremierowa) do uwierzytelniania Kerberos bez awaryjnego uwierzytelniania NTLM, a Microsoft zaktualizuje podstawowe funkcje systemu Windows, aby najpierw promować Kerberos, zmniejszając w ten sposób użycie NTLM.
Etap III – Wyłączenie NTLM
Kolejne główne wersje systemu Windows Server i powiązanego klienta Windows przez cały czas będą obsługiwać protokół NTLM, ale będzie on domyślnie wyłączony i będzie wymagał ponownego włączenia dzięki nowych mechanizmów kontroli zasad. Wbudowana obsługa wyłączania protokołu NTLM zostanie również uwzględniona w produkcji.
„Domyślne wyłączenie protokołu NTLM nie oznacza jeszcze całkowitego usunięcia NTLM z systemu Windows. Oznacza to, iż system Windows będzie domyślnie bezpieczny, ponieważ uwierzytelnianie sieciowe NTLM jest zablokowane i nie będzie już używane automatycznie” – wyjaśnia Microsoft.
Według giganta technologicznego wyłączenie NTLM stanowi istotny krok w kierunku przyszłości bez haseł i odpornej na phishing, ale wymaga od organizacji rozpoczęcia lub przyspieszenia działań na rzecz redukcji użycia protokołu NTLM. Proponowanymi krokami są audyty, mapowanie zależności, migracje do protokołu Kerberos i konsekwentne aktualizowanie go, a także testowanie konfiguracji z wyłączonym protokołem NTLM.
