Microsoft хочет отключить аутентификацию NTLM в Windows 11

Различные версии Windows используют Kerberos в качестве основного протокола аутентификации уже более 20 лет. Однако в определенных обстоятельствах ОС приходится использовать другой метод — NTLM (NT LAN Manager). Сегодня Microsoft объявила, что расширяет использование Kerberos и планирует полностью отказаться от использования NTLM.

В посте в блоге Microsoft заявила, что некоторые предприятия и организации продолжают использовать NTLM для аутентификации Windows, поскольку он «не требует локального сетевого подключения к контроллеру домена». Это также «единственный протокол, поддерживаемый при использовании локальных учетных записей», и он «работает, когда вы не знаете, кто целевой сервер».

Microsoft заявляет:



Проблема в том, что, хотя компании могут отключить NTLM для аутентификации, в этих встроенных приложениях и службах могут возникнуть проблемы. Вот почему Microsoft добавила в Kerberos две новые функции аутентификации.

Одной из них является начальная и сквозная аутентификация с помощью Kerberos (IAKerb), которая позволит «клиенту, не имеющему прямой видимости с контроллером домена, пройти аутентификацию через сервер, у которого есть прямая видимость». Другая — локальный Key Distribution Center (KDC) для Kerberos, который добавляет поддержку аутентификации для локальных учетных записей.

Эти изменения вносятся для того, чтобы в долгосрочной перспективе Kerberos стал единственным протоколом аутентификации Windows. Microsoft заявила:



Как только решение будет принято, Microsoft сначала по умолчанию отключит NTLM, но предприятия смогут снова включить его на тот случай, если у них возникнут проблемы с совместимостью. Microsoft не объявила конкретного графика, когда все это произойдет.