微软上周透露,将逐渐减少于Windows 11中使用New Technology LAN Manager(NTLM)身分验证安全协定的必要性,最终将于Windows 11中关闭NTLM。
NTLM是微软于1990年代所推出的安全协定,是个基于挑战与回应的身分验证协定,让Windows用户可向远端系统证明自己的身分。此一早期技术存在许多安全风险,微软也在2000年以新的Kerberos作为Windows的预设身分验证协定,但在某些无法使用Kerberos的场景时,仍可回归至NTLM。
NTLM具备许多优势,包括与网域控制器之间不需本地端网路连结,是使用本机帐户时唯一支援的协定,在不知目标伺服器时也能运作等,而让一些应用程式或服务直接硬编码NTLM,而不使用其它较安全的协定。然而,随著诸如ShadowCoerce或PetitPotam等各种可绕过NTLM之中继攻击的现身,微软开始扩张Kerberos的能力,以让它支援部分的NTLM特性,降低组织对NTLM的需求。
其中的IAKerb允许客户在更为异质的网路拓扑中以Kerberos进行身分验证,它利用Negotiate验证扩充功能,并允许Windows验证堆叠来代理Kerberos讯息。另也于本机电脑的安全帐户管理员中建立了Kerberos的金钥分配中心(Key Distribution Center,KDC),以让使用者可以透过Kerberos来完成本机使用者帐号的远端身分验证。
此外,微软也正修补既有Windows元件中硬编码NTLM的实例,让这些元件使用Negotiate协定,就可以Kerberos取代NTLM。
微软表示,上述的所有变更都将成为Windows 11的预设值,在大多数的情况下不需要特别配置,而NTLM也会继续成为Kerberos无法运作时的替代选项,以维持相容性。
除了新增Kerberos的功能,微软亦延伸NTLM的管理控制能力,以让管理人员得以更灵活地追踪与封锁环境中所使用的NTLM。
微软的种种减少NTLM使用情境的措施,都是为了达到于Windows 11中关闭NTLM的最终目的,将采行资料驱动的作法并监控NTML的使用量,以决定何时才是关闭NTLM的安全时机。不过,就算于预设中关闭了NTLM,微软亦会新增控制选项以让组织于必要时启用NTLM。