На протяжении последних нескольких лет Microsoft заявляет о постепенном отказе от протокола NTLM в установках Windows в пользу альтернатив на базе Kerberos. Хотя некоторые версии протокола всё ещё поддерживаются, но в устаревшем состоянии, компания уже начала удалять устаревшие версии NTLM в Windows 11 и Windows Server 2025. Теперь корпорация из Редмонда объяснила, как системным администраторам подготовиться к отключению NTLM в своих средах.
NTLM является частью аутентификации Windows уже более 30 лет, однако с усложнением угроз безопасности этот протокол больше не подходит для корпоративного использования. Продолжение его применения после объявления устаревшим чревато серьёзными уязвимостями — отсутствием аутентификации сервера, уязвимостью к атакам «воспроизведение», «ретрансляция» и «pass-the-hash», а также использованием слабых криптографических алгоритмов.
На данном этапе Microsoft переводит NTLM из категории «устаревший» в состояние отключённого по умолчанию. Конечная цель — полное удаление протокола.
На первом этапе администраторы могут воспользоваться инструментами от Microsoft, чтобы выяснить, где, как и зачем используется NTLM в их инфраструктуре. Второй этап начнётся во второй половине этого года: Microsoft упростит отказ от NTLM, устранив ключевые препятствия. Будет представлен локальный KDC (в режиме предварительного просмотра), чтобы локальные учётные записи не возвращались к NTLM при аутентификации, а также обновлены «базовые» компоненты Windows, которые начнут отдавать приоритет Kerberos.
Третий этап стартует с выходом новой версии Windows Server и клиентских сборок, где NTLM будет отключён по умолчанию. Организации всё ещё смогут его включить, но только вручную и на свой страх и риск.
Microsoft называет отключение NTLM «крупной эволюцией в аутентификации Windows», что повысит безопасность операционной системы. Системным администраторам рекомендуется выполнить следующее:
- Включить расширенное аудирование NTLM, чтобы определить, где он ещё используется.
- Выявить зависимости в приложениях и службах и устранить их. Это может включать взаимодействие с разработчиками для обновления критических приложений.
- Перейти на Kerberos и проверить успешность работы критических задач. Возможности, появившиеся во второй половине 2026 года, значительно расширят сценарии использования Kerberos.
- Начать тестирование конфигураций без NTLM в непроизводственных средах.
- Подключить обновления Kerberos по мере их появления в программе Windows Insider, а затем — в рамках основных релизов в этом году.
Если вы столкнулись с особыми случаями, когда отказ от NTLM невозможен, свяжитесь с Microsoft напрямую по адресу: ntlm@microsoft.com
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Usama Jawad
