Windows 11 er indstillet til at dræbe NTLM-godkendelse, en ældre autentificeringsprotokol, der anses for at være usikker. NTLM har eksisteret i årtier og bruges af mange applikationer og tjenester, men det har flere sårbarheder, der er blevet udnyttet af angribere.
Microsoft arbejder på at erstatte Windows 11s NTLM-godkendelse med Kerberos
Microsoft erarbejderat erstatte NTLM med mere sikre godkendelsesprotokoller, såsom Kerberos og TLS. I Windows 11 vil NTLM-godkendelse være deaktiveret som standard for Remote Procedure Call-trafik (RPC). Det betyder, at applikationer og tjenester, der bruger NTLM til RPC, skal opdateres for at bruge en mere sikker godkendelsesprotokol.
Anbefalet læsning:Microsoft Eyes TikToks amerikanske operationer midt i nationale sikkerhedsbekymringer
Microsoft har opfordret kunder til at migrere til Kerberos i mange år, men NTLM er stadig meget brugt i mange miljøer. Dette skyldes, at nogle ældre applikationer og enheder ikke understøtter Kerberos.
Kerberos er en netværksgodkendelsesprotokol, der fungerer på basis af billetter for at tillade noder, der kommunikerer over et ikke-sikkert netværk, for at bevise deres identitet over for hinanden på en sikker måde. Den bruger en betroet tredjepart, kaldet Key Distribution Center (KDC), til at godkende klienter og servere. KDC udsteder derefter billetter, der beviser identiteten af klienter og servere, hvilket tillader sikker kommunikation og forhindrer uautoriseret adgang.
Microsoft arbejder på nye funktioner til Windows 11, der vil gøre det nemmere for kunder at deaktivere NTLM-godkendelse. Disse funktioner omfatter:
- Initial- og Pass-Through-godkendelse ved hjælp af Kerberos (IAKerb): Denne funktion gør det muligt at bruge Kerberos-godkendelse i tilfælde, hvor NTLM bruges i øjeblikket, såsom når du logger på en domænecontroller eller får adgang til en fildeling.
- Local Key Distribution Center (KDC) for Kerberos: Denne funktion gør det muligt at bruge Kerberos-godkendelse, selv når der ikke er forbindelse til en domænecontroller.
Microsoft har endnu ikke annonceret en specifik dato for, hvornår NTLM-godkendelse vil blive deaktiveret i Windows 11 som standard. De har dog udtalt, at de vil tage en datadrevet tilgang og overvåge reduktioner i NTLM-brug for at afgøre, hvornår det er sikkert at gøre det.
I mellemtiden kan kunderne bruge de forbedrede kontroller, som Microsoft leverer, til at få et forspring med at deaktivere NTLM-godkendelse. Når de er deaktiveret som standard, vil kunder også være i stand til at bruge disse kontroller til at genaktivere NTLM af kompatibilitetsårsager.
Læs mere:
- Microsoft afslutter support til Windows 11 21H2 og Windows Server 2012
- Microsoft afslører OneDrive 3.0 med nyt design, Copilot AI, delingsfunktioner og meget mere
- Microsoft afslutter officielt gratis Windows 11-opgraderinger til pc'er, der kører på Windows 7 og 8