Kerberos zastąpi NTLM w najnowszych systemach Windows. Jak się przygotować?

Już od dawna panuje przekonanie,To już ponad 30 lat, odkąd Microsoft wprowadził protokół NTLM (New Technology LAN Manager) służący do uwierzytelniania użytkowników w systemach Windows. I choć nadal cieszy się on dużą popularnością (nawet w najnowszych wersjach systemów Windows spotkamy ten mechanizm uwierzytelnienia) to zdaje się, że jego dni zostały policzone.
TLDR:

• Microsoft zapowiada podjęcie radykalnych kroków zmierzających do wyeliminowania przestarzałego protokołu NTLM.
• Proponuje plan migracji złożony z trzech kroków, które finalnie pozwoli na wymianę mechanizmu uwierzytelnienia – wdrożenie protokołu Kerberos.
• Narzędzia wspierające migrację zostaną domyślnie udostępnione w systemach Windows 11 24H2 oraz Windows Server 2025.

W przypadku problemów, Microsoft służy pomocą pod adresem email: ntlm@microsoft.com.

Krajobraz zagrożeń na przestrzeni lat zmienił się nie do poznania. O dzisiejszych wektorach ataku 30 lat temu nikomu się nawet nie śniło. Nic więc dziwnego, że protokół NTLM mocno się “zestarzał” i zamiast chronić użytkownika daje mu jedynie fałszywe poczucie bezpieczeństwa. Dzięki gotowym narzędziom (np. Responder) wspierającym ataki typu NTLM Relay czy pass-the-hash, atakujący mają możliwość uzyskania nieautoryzowanego dostępu oraz kradzieży tożsamości, bez konieczności łamania hashy.

Microsoft zauważył problem już lata temu. W lipcu 2024 r. oficjalnie uznał protokół NTLM za przestarzały i zalecił przejście na Kerberos. Teraz jednak postanowił podjąć bardziej radykalne kroki i w najnowszym wpisie na Microsoft Lens opublikował konkretne działania, przygotowujące użytkowników na ewentualność wyłączenia mechanizmu. W tym miejscu należy dać gwiazdkę. Protokół NTLM będzie nadal dostępny, tylko domyślnie wyłączony. Jego aktywacja będzie możliwa poprzez modyfikację polityk systemowych.

Plan migracji zaproponowany przez Microsoft składa się z trzech części.

Faza pierwsza ma na celu identyfikację, gdzie protokół NTLM jest obecny. Administratorzy otrzymają rozszerzone narzędzie audytowe, pozwalające wykryć miejsca użycia protokołu. Narzędzie będzie dostępne w wersji Windows 11 24H2 oraz Windows Server 2025.

Faza druga obejmuje wdrożenie konkretnych rozwiązań, pozwalających na zastosowanie Kerberosa w miejscu, gdzie do tej pory nie było to możliwe. Zaproponowane funkcje IAKerb oraz LKDC (Lokalne Centrum Dystrybucji Kluczy) umożliwiają uwierzytelnienie za pomocą protokołu Kerberos, w przypadku kiedy użytkownik nie ma dostępu do kontrolera domeny. Ponadto, logowanie na konta lokalne również nie będzie musiało korzystać z mechanizmu NTLM. Kluczowe komponenty systemu zostaną zaktualizowane w taki sposób, aby w pierwszej kolejności wykorzystywały Kerberos. Microsoft planuje udostępnić powyższe mechanizmy w połowie 2026 r.

Ostatnia faza polega na domyślnym wyłączeniu NTLM w przyszłych wersjach Windowsa. Co prawda sam protokół pozostanie w systemie, jednak jego aktywacja będzie wymagała podjęcia dodatkowych działań ze strony administratora.

Microsoft zdaje sobie sprawę, że migracja do nowych technologii może być problematyczna. Zwłaszcza w systemach gdzie trzeba zachować ciągłość działania usług i zmiana sposobu uwierzytelnienia na pierwszy rzut oka wydaje się niemożliwa. Z tego powodu nie usuwa całkowicie NTLM, tylko proponuje konkretne rozwiązania.

Ponadto, zapowiada aktualizację dokumentacji i poradników migracji, tak aby cały proces przeszedł jak najmniej boleśnie. W szczególnych przypadkach, gdzie użycie NTLM wydaje się niemożliwe do wyeliminowania, zapraszają do kontaktu (ntlm@microsoft.com). 

Zalecamy podejść do sprawy poważnie i już dziś rozpocząć audyt systemów, póki jest jeszcze na to czas.

Źródło: techcommunity.microsoft.com 

~_secmike