Kerberosمایکروسافت اعلام کرده است که قصد دارد[۱] در آینده NT LAN Manager (NTLM[2]) را در ویندوز ۱۱ حذف کند، زیرا به روش های جایگزین برای احراز هویت و تقویت امنیت می پردازد.

این غول فناوری گفت: «تمرکز بر تقویت پروتکل احراز هویت Kerberos است که از سال ۲۰۰۰ پیش‌فرض بوده و کاهش اتکا به NT LAN Manager (NTLM) است. ویژگی‌های جدید ویندوز ۱۱ شامل احراز هویت اولیه و عبور با استفاده از Kerberos (IAKerb) و مرکز توزیع کلید محلی (KDC) برای Kerberos است.»

IAKerb مشتریان را قادر می‌سازد تا با Kerberos در طیف متنوعی از توپولوژی‌های شبکه احراز هویت کنند. ویژگی دوم، یک مرکز توزیع کلید محلی ([۳]KDC) برای Kerberos، پشتیبانی Kerberos را به حساب‌های محلی گسترش می‌دهد.

NTLM برای اولین‌بار در دهه ۱۹۹۰ معرفی شد، مجموعه ای از پروتکل های امنیتی[۴] است که برای ارائه احراز هویت، یکپارچگی و محرمانه بودن به کاربران در نظر گرفته شده است. این یک ابزار ثبت نام واحد (SSO) است که به یک پروتکل پاسخ به چالش متکی است که به سرور یا کنترل کننده دامنه ثابت می کند که کاربر رمز عبور مرتبط با یک حساب را می‌داند.

از زمان انتشار ویندوز ۲۰۰۰، پروتکل احراز هویت دیگری به نام Kerberos جایگزین آن شده است، اگرچه NTLM  همچنان به عنوان مکانیزم بازگشتی استفاده می شود.

CrowdStrike   خاطرنشان می کند[۵]: “تفاوت اصلی بین NTLM و Kerberos در نحوه مدیریت احراز هویت این دو پروتکل است. NTLM برای احراز هویت کاربر به یک دست دادن سه طرفه بین مشتری و سرور متکی است.   در حالی که Kerberos از یک فرآیند دو قسمتی استفاده می کند که از خدمات اعطای بلیط یا مرکز توزیع کلید استفاده می کند.”

تمایز مهم دیگر این است که در حالی که NTLM به هش رمز عبور متکی است،Kerberos  از رمزگذاری استفاده می کند.

علاوه بر ضعف‌های امنیتی ذاتی[۶] NTLM، این فناوری در برابر حملات relay[7] آسیب‌پذیر شده است و به طور بالقوه به بازیگران بد اجازه می‌دهد تا تلاش‌های احراز هویت را رهگیری کنند[۸] و به منابع شبکه دسترسی غیرمجاز پیدا کنند [۹].

مایکروسافت همچنین گفت که در حال کار روی بررسی نمونه‌های رمزگذاری شده NTLM در مؤلفه‌های خود برای آماده‌سازی تغییر نهایی برای غیرفعال‌کردن NTLM در ویندوز ۱۱ است و افزود که در حال ایجاد بهبودهایی است که استفاده از Kerberos به جای NTLM را تشویق می‌کند.

Matthew Palko، مدیر ارشد مدیریت محصول مایکروسافت در Enterprise and Security گفت: «همه این تغییرات به‌طور پیش‌فرض فعال می‌شوند و برای اکثر سناریوها نیازی به پیکربندی ندارند. NTLM همچنان به عنوان یک بازگشت برای حفظ سازگاری موجود در دسترس خواهد بود.

  منابع

[۱] https://techcommunity.microsoft.com/t5/windows-it-pro-blog/the-evolution-of-windows-authentication/ba-p/3926848

[۲] https://learn.microsoft.com/en-us/windows-server/security/kerberos/ntlm-overview

[۳] https://learn.microsoft.com/en-us/windows/win32/secauthn/key-distribution-center

[۴] https://learn.microsoft.com/en-us/windows/win32/secauthn/microsoft-ntlm

[۵] https://www.crowdstrike.com/cybersecurity-101/ntlm-windows-new-technology-lan-manager

[۶] https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-nlmp/1e846608-4c5f-41f4-8454-1b91af8a755b

[۷] https://thehackernews.com/2022/06/new-ntlm-relay-attack-lets-attackers.html

[۸] https://www.secureauth.com/blog/what-is-old-is-new-again-the-relay-attack

[۹] https://socradar.io/ntlm-relay-attack-leads-to-windows-domain-takeover

[۱۰] https://thehackernews.com/2023/10/microsoft-to-phase-out-ntlm-in-favor-of.html