微软本周早些时候宣布,NTLM身份验证协议将在未来的Windows 11中被取消。
NTLM (New Technology LAN Manager的缩写)是一组用于验证远程用户并提供会话安全性的协议。
Kerberos是另一种身份验证协议
取代NTLM
在Windows 2000以上的所有Windows版本上,and现在是域连接设备的当前默认验证协议。
虽然它是旧Windows版本中使用的默认协议,但NTLM至今仍在使用,如果由于任何原因Kerberos失败,将使用NTLM代替。
威胁行为者广泛利用了NTLM
NTLM中继攻击
他们强迫易受攻击的网络设备(包括域控制器)对攻击者控制下的服务器进行身份验证,提升特权以获得对Windows域的完全控制。
尽管如此,NTLM仍然在Windows服务器上使用,允许攻击者利用诸如
ShadowCoerce
,
DFSCoerce
,
PetitPotam
,
RemotePotato0
,旨在绕过NTLM中继攻击缓解措施。
NTLM还成为了传递哈希攻击的目标,网络犯罪分子利用系统漏洞或部署恶意软件,从目标系统获取代表哈希密码的NTLM哈希。
一旦拥有哈希值,攻击者就可以利用它作为受感染的用户进行身份验证,从而获得对敏感数据的访问权限,并在网络上横向传播。
微软表示,开发者不应该再在他们的应用程序中使用ntlm
自2010年以来
并且一直建议Windows管理员禁用NTLM或配置他们的服务器以使用Active Directory证书服务(AD CS)阻止NTLM中继攻击。
不过,微软现在正在开发两个新的Kerberos特性:IAKerb(使用Kerberos的初始和通过身份验证)和Local KDC(本地密钥分发中心)。
“Kerberos的本地KDC构建在本地机器的安全帐户管理器之上,因此可以使用Kerberos对本地用户帐户进行远程身份验证,”Microsoft的Matthew Palko说
解释
.
它利用IAKerb允许Windows在远程本地机器之间传递Kerberos消息,而无需添加对其他企业服务(如DNS、netlogon或DCLocator)的支持。IAKerb也不需要我们在远程机器上打开新的端口来接受Kerberos消息。”
Microsoft打算在Windows 11中引入两个新的Kerberos特性,以扩大其使用范围,并解决导致Kerberos退回到NTLM的两个重大挑战。
第一个特性IAKerb使客户机能够在更广泛的网络拓扑中使用Kerberos进行身份验证。第二个特性涉及Kerberos的本地密钥分发中心(KDC),它将Kerberos支持扩展到本地帐户。
Redmond还计划扩展NTLM管理控制,为管理员提供在其环境中监视和限制NTLM使用的更大灵活性。
减少NTLM的使用最终会导致它在Windows 11中被禁用。我们正在采取数据驱动的方法,监测NTLM使用量的减少,以确定何时可以安全禁用。”
“与此同时,你可以使用我们提供的增强控制来获得一个良好的开端。一旦默认禁用,出于兼容性原因,客户也可以使用这些控件重新启用NTLM。”
如若转载,请注明出处:https://www.ozabc.com/anquan/537061.html