Microsoft готовит Windows к отказу от старого протокола NTLM

Microsoft собирается отказаться от старого протокола безопасности NTLM, который прослужил нам верой и правдой более 30 лет. 👋 Теперь вместо него будут использоваться более современные и надежные методы, основанные на протоколе Kerberos, в грядущих версиях Windows.

Изображение: Future

Что такое NTLM и почему его хотят убрать?

NTLM (New Technology LAN Manager) — это протокол аутентификации, который Microsoft использует с 1993 года. Он помогает удостовериться, что вы — это действительно вы, и защищает ваши данные. Но, как и всякой старой технологии, у NTLM есть свои проблемы. Главная из них — слабая криптография, которая делает его уязвимым для атак. Злоумышленники могут использовать NTLM для перехвата данных или выдачи себя за другого пользователя (replay и man-in-the-middle атаки). 🕵️‍♂️

Переход на Kerberos — это шаг к безопасности

Microsoft осознает эти риски и поэтому решила переходить на Kerberos. Этот протокол считается более современным и безопасным, он лучше справляется с обнаружением уязвимостей и поддерживает актуальные стандарты аутентификации.

Как это будет происходить?

Переход планируется поэтапно:

1. Аудит и подготовка: В Windows Server 2025 и Windows 11 версии 24H2 появятся улучшенные инструменты для аудита NTLM. Они помогут администраторам понять, где именно используется этот протокол, и подготовиться к его отключению.
2. Новые возможности: Во второй половине 2026 года Microsoft планирует добавить новые функции, такие как Local KDC (Key Distribution Center) и IAKerb. Это поможет смягчить распространенные проблемы, связанные с NTLM, например, проблемы с подключением к контроллерам домена и необходимость использования локальных учетных данных.
3. Отключение по умолчанию: На заключительном этапе NTLM будет отключен по умолчанию в будущих версиях Windows Server и клиентских версиях Windows. Но не пугайтесь, полностью протокол не уберут — его можно будет включить обратно через настройки, если это действительно необходимо.

Что делать организациям?

Microsoft настоятельно рекомендует всем организациям:

• Незамедлительно начать аудит: Проверьте, где и как используется NTLM в вашей сети.
• Переходить на Kerberos: Для критически важных рабочих задач стоит поскорее перейти на более безопасный Kerberos.
• Тестировать: Перед полным отключением NTLM протестируйте работу ваших приложений и сервисов в среде без этого протокола.

Microsoft понимает, что такой переход может вызвать определенные сложности, но безопасность данных пользователей — это приоритет. 💪

Microsoft делает правильный шаг, избавляясь от устаревшего и небезопасного протокола NTLM. Переход на Kerberos — это необходимая мера для укрепления защиты данных в среде Windows. Этот процесс, конечно, потребует усилий со стороны системных администраторов, но в долгосрочной перспективе он принесет значительные выгоды с точки зрения безопасности.

— Евгений (MSReview)