- Microsoft отключит протокол аутентификации NTLM по умолчанию в будущих версиях Windows из-за уязвимостей безопасности.
- NTLM будет постепенно вытесняться более безопасным протоколом Kerberos с помощью трёхэтапного плана внедрения и аудита.
- NTLM подвержен атакам типа ретрансляции и pass-the-hash, что создаёт угрозы для безопасности доменных сетей Windows.
Корпорация Microsoft объявила о планах отключить устаревший протокол аутентификации NTLM (New Technology LAN Manager) по умолчанию в будущих версиях операционных систем Windows, включая серверные релизы. NTLM, разработанный более 30 лет назад и пока остающийся резервным методом аутентификации, уступит приоритет современному и более надёжному протоколу Kerberos. Данный шаг обусловлен многочисленными уязвимостями, которые активно эксплуатируются злоумышленниками для проведения атак с целью повышения привилегий и полного контроля над доменом Windows.
NTLM используется в сценариях, когда Kerberos недоступен, однако протокол подвержен сложным типам атак, таким как ретрансляция и pass-the-hash. Последние позволяют злоумышленникам похищать хеши паролей и использовать их для несанкционированного доступа к системам, что представляет существенную угрозу для безопасности корпоративных сетей. Ряд известных уязвимостей, включая PetitPotam, ShadowCoerce, DFSCoerce и RemotePotato0, позволяет злоумышленникам обходить привычные меры защиты на базе NTLM.
Компания представила трёхэтапный план по отказу от NTLM, направленный на минимизацию рисков для пользователей. Первый этап предусматривает внедрение расширенных инструментов аудита в Windows 11 24H2 и Windows Server 2025 для идентификации использования протокола. Во втором этапе, планируемом на вторую половину 2026 года, будут добавлены новые функции, такие как IAKerb и локальный центр распространения ключей (локальный KDC), которые позволят обеспечить поддержку распространённых сценариев, ранее требующих NTLM. На финальном этапе NTLM будет выключен по умолчанию, но сохранён в системе для возможности активации при необходимости через политики.
Microsoft подчёркивает, что система отдаст предпочтение Kerberos как более защищённой альтернативе, а новые технологии позволят устранить уязвимости, связанные с устаревшими сценариями. Компания уже с 2010 года рекомендует разработчикам отказываться от NTLM в пользу более безопасных методов аутентификации и рекомендует системным администраторам настраивать серверы для защиты от атак с использованием NTLM.
Переход от NTLM является частью более широкой стратегии Microsoft по усилению безопасности операционных систем. Недавние инциденты и базы данных, например, радужные таблицы для взлома паролей, защищённых устаревшими версиями NTLM, а также уязвимости в Kerberos, нашли отражение в новых мерах защиты контроллеров домена. В целом отказ от NTLM и постепенное внедрение новых механизмов аутентификации призваны повысить устойчивость Windows к современным киберугрозам и обеспечить безопасную работу корпоративных инфраструктур.
