微软正在剥离Windows11用户使用用于验证远程用户身份的旧协议。新技术LAN管理器(NTLM)已被Kerberos有效取代,Kerberos是MIT开发的跨平台工具,可用作自Windows2000以来任何版本的Windows的身份验证协议。
事实上,微软早在2010年就建议用户不要使用NTLM。但是,它仍然保留作为备份,以防Kerberos失败。但现在它终于得到了斧头。
从安全角度来看,NTLM被认为很弱,因为威胁行为者已多次利用它来验证目标网络与其自己的恶意服务器之间的连接。从这里他们可以接管受害者的机器。
攻击者还能够通过系统中的漏洞窃取目标的NTLM密码哈希值,使用它们来验证对受害者系统的访问并在整个网络中移动。
由于这些原因,Microsoft长期以来一直建议管理员禁用NTLM或使用ActiveDirectory证书服务(ADCS)阻止其服务器免受NTLM中继攻击。
作为NTLM的替代品,微软目前正在开发IAKerb(使用Kerberos进行初始和传递身份验证)和本地KDC(本地密钥分发中心)。
前者构建在本地机器的安全帐户管理器之上,因此可以使用Kerberos实现远程身份验证。然后,IAKerb用于在计算机之间传输Kerberos消息,“无需添加对DNS、netlogon或DCLocator等其他企业服务的支持”,微软的MatthewPalko说道。
“IAKerb也不要求我们在远程计算机上打开新端口来接受Kerberos消息,”他补充道。
虽然Palko还表示“NTLM将继续作为维持现有兼容性的后备方案”,但管理员将可以使用更多控制来监控和限制其网络内的NLTM。
不过,Palko的结论是,“减少NTLM的使用最终将导致它在Windows11中被禁用。”
标签:
免责声明:本文由用户上传,如有侵权请联系删除!