微软本周早些时候宣布,未来将在 Windows 11 中取消 NTLM 身份验证协议。
NTLM(新技术 LAN 管理器的缩写)是一系列用于验证远程用户身份并提供会话安全性的协议。
Kerberos 是另一种身份验证协议,它已取代 NTLM,现在是 Windows 2000 以上所有 Windows 版本上域连接设备的当前默认身份验证协议。
虽然 NTLM 是旧 Windows 版本中使用的默认协议,但如今仍在使用,并且如果出于任何原因 Kerberos 失败,将改用 NTLM。
威胁参与者在NTLM 中继攻击中广泛利用 NTLM ,迫使易受攻击的网络设备(包括域控制器)对攻击者控制下的服务器进行身份验证,从而提升权限以获得对 Windows 域的完全控制。
尽管如此,NTLM 仍然在 Windows 服务器上使用,允许攻击者利用ShadowCoerce、DFSCoerce、PetitPotam和RemotePotato0等漏洞,这些漏洞旨在绕过 NTLM 中继攻击缓解措施。
NTLM 还成为哈希传递攻击的目标,网络犯罪分子利用系统漏洞或部署恶意软件从目标系统获取 NTLM 哈希(代表哈希密码)。
一旦拥有哈希值,攻击者就可以利用它来验证受感染用户的身份,从而获得对敏感数据的访问权限并在网络上横向传播。
微软表示,自 2010 年以来,开发人员不应再在其应用程序中使用 NTLM ,并一直建议 Windows 管理员禁用 NTLM 或配置其服务器以使用 Active Directory 证书服务 (AD CS) 阻止 NTLM 中继攻击。
不过,微软现在正在开发两个新的 Kerberos 功能:IAKerb(使用 Kerberos 进行初始和传递身份验证)和本地 KDC(本地密钥分发中心)。
“Kerberos 的本地 KDC 构建在本地计算机的安全帐户管理器之上,因此可以使用 Kerberos 完成本地用户帐户的远程身份验证,”微软的 Matthew Palko 解释道。
“这利用 IAKerb 允许 Windows 在远程本地计算机之间传递 Kerberos 消息,而无需添加对其他企业服务(如 DNS、netlogon 或 DCLocator)的支持。IAKerb 也不需要我们在远程计算机上打开新端口来接受 Kerberos 消息”。
Microsoft 打算在 Windows 11 中引入两项新的 Kerberos 功能,以扩大其用途并解决导致 Kerberos 回退到 NTLM 的两个重大挑战。
第一个功能 IAKerb 使客户端能够在更广泛的网络拓扑中使用 Kerberos 进行身份验证。第二个功能涉及 Kerberos 的本地密钥分发中心 (KDC),它将 Kerberos 支持扩展到本地帐户。
Redmond 还计划扩展 NTLM 管理控制,为管理员提供更大的灵活性来监控和限制其环境中的 NTLM 使用。
“所有这些更改都将默认启用,并且在大多数情况下不需要配置。NTLM 将继续作为维持现有兼容性的后备方案,”Palko 说。
“减少 NTLM 的使用最终将导致它在 Windows 11 中被禁用。我们正在采用数据驱动的方法并监控 NTLM 使用的减少情况,以确定何时可以安全地禁用它。
“与此同时,您可以使用我们提供的增强控件来抢占先机。默认情况下禁用后,客户还可以出于兼容性原因使用这些控件重新启用 NTLM。”
发表评论
您还未登录,请先登录。
登录