В течение последних нескольких лет Microsoft постепенно отказывается от NTLM в Windows в пользу альтернатив на основе Kerberos. Начиная со следующих версий клиентских и серверных редакций Windows, Microsoft также отключит устаревший протокол аутентификации по умолчанию. В последнем пакете базовых настроек безопасности для Windows Server 2025 компания уже предоставляет клиентам возможность аудита входящих конфигураций. Теперь она объявила о серии изменений, направленных на дальнейшее снижение зависимости от NTLM.
В предстоящем выпуске Windows 11 для клиентов и серверов в рамках программы Insider определенные сценарии, которые ранее требовали NTLM, смогут использовать откат к начальной аутентификации и аутентификации с передачей учетных данных через Kerberos (IAKerb) и локальный центр распределения ключей (LocalKDC).
Для тех, кто не в курсе, IAKerb позволяет Kerberos работать, когда клиент не имеет прямого доступа к контроллеру домена (DC). В то время как традиционная аутентификация Kerberos требует прямой связи, IAKerb позволяет целевой службе выступать в качестве прокси для обмена данными на основе Kerberos. Это полезно в различных корпоративных сценариях, где видимость контроллеров домена ограничена или где клиентские службы могут достигать целевых служб, но не соответствующих контроллеров домена.
Тем временем LocalKDC обеспечивает аутентификацию на основе Kerberos для сценариев с локальными учетными записями, вместо того чтобы полагаться на NTLM. Это делает его особенно полезным на автономных устройствах, в средах рабочих групп и не только.
В совокупности IAKerb и LocalKDC снизят зависимость от NTLM как в удаленных корпоративных, так и в локальных сценариях. Разработчики также смогут полагаться на современные, последовательные и безопасные потоки аутентификации. Microsoft понимает, что, хотя большинство клиентов отказываются от NTLM из соображений безопасности, другие продолжают использовать устаревший протокол для нишевых сценариев. Компания надеется, что IAKerb и LocalKDC помогут устранить некоторые из этих пробелов и позволят организациям отказаться от NTLM.
В следующем выпуске Canary Channel в программе Windows Insider Microsoft представит эти возможности для предварительного просмотра. IAKerb будет включен по умолчанию, а LocalKDC будет отключен, но пользователи смогут переключать это поведение с помощью ключей реестра Windows, как объясняется здесь.
По мере того как компания будет постепенно двигаться к общедоступной версии, она начнет отображать эти опции и в инструментах управления, и в групповых политиках. На данный момент Microsoft настоятельно рекомендует клиентам, которые все еще используют NTLM, начать тестирование и проверку этих функций безопасности, как только они станут доступны в следующем предварительном выпуске.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
