Уже более 30 лет NTLM (New Technology LAN Manager) является основным протоколом аутентификации в Windows. Он помог предприятиям перейти от устаревшей аутентификации LAN Manager к современным корпоративным сетям.
Но времена изменились. Об этом было объявлено. Microsoft Недавно компания объявила о планах отключить протокол NTLM по умолчанию в новых версиях Windows. Это знаменует собой конец существования этого протокола, являвшегося формой организационной аутентификации, с момента его запуска в 1993 году.
Этот шаг свидетельствует о том, что старые модели безопасности больше не подходят для современного мира, основанного на недоверии. Ниже приводится анализ причин, по которым NTLM был снят с производства и заменен на Kerberos.
Краткое описание NTLM
Протокол NTLM (Network Management for New Technology) был разработан в 1990-х годах, когда корпоративные сети были относительно небольшими и ограничивались физическими границами офиса. Кроме того, как протокол аутентификации типа «запрос-ответ», NTLM использует хешированную версию пароля, а не передает его по сети.
NTLM больше подходил для сред, где сети были локальными и не имели центрального контроллера домена, а также когда устройства использовались для работы в рабочих группах, а не в доменах.
Однако NTLM не был специально разработан для гибридных сетей, удаленной работы, облачных сред и современных угроз. Несмотря на эти ограничения, он не исчезает полностью. Он будет служить резервным методом аутентификации, когда Kerberos недоступен.
Почему Microsoft закрывает NTLM?
Решение Microsoft отключить виртуальную машину NTLM обусловлено одним важнейшим фактом: NTLM принципиально небезопасен по современным стандартам. Перечислим некоторые из причин:
- NTLM использует слабое шифрование и в значительной степени опирается на устаревшие хеши, уязвимые для современных методов взлома. Используя такие инструменты, как Hashcat, John the Ripper и Rainbow Tables, хакеры могут легко извлекать пароли из хешей NTLM.
- Этот протокол уязвим для атак с перехватом. При атаке с перехватом злоумышленники манипулируют пользователями, заставляя их проходить аутентификацию на вредоносном сервере. Перехватывая запросы на аутентификацию, злоумышленники перенаправляют их на другой сервер, чтобы получить несанкционированный доступ. В отличие от этого, Kerberos специально разработан для предотвращения подобных атак.
- Поскольку протокол NTLM был разработан много лет назад, он не поддерживает современные модели безопасности, такие как Zero Trust Security, Cloud Identity Management или многофакторная аутентификация (MFA).
Входные данные Kerberos
В отличие от системы обмена хешами паролей, используемой в NTLM, Kerberos Это система аутентификации на основе билетов. Она предоставляет решение для обеспечения безопасности организаций любого размера. Начиная с Windows 2000, она стала протоколом аутентификации по умолчанию для каждого устройства Windows, подключенного к домену.
Этот протокол использует симметричное шифрование в сочетании с центром распределения ключей (KDC) для проверки личности пользователей. KDC состоит из системы обработки заявок (TGS), базы данных Kerberos для хранения паролей и сервера аутентификации.
В процессе первоначальной аутентификации протокол Kerberos сохраняет выбранный билет на устройстве конечного пользователя. Вместо поиска пароля служба проверяет этот билет. Таким образом, аутентификация Kerberos происходит в собственной среде, где KDC уполномочен проверять хост, пользователя или службу.
Почему именно Kerberos?
Одним из ключевых преимуществ использования Kerberos является взаимная аутентификация. Kerberos позволяет пользователям и другим сервисным системам проверять друг друга. На протяжении всего процесса сервер и пользователи будут знать о степени доверия друг к другу.
Кроме того, каждый билет содержит метку времени и информацию о сроке действия, а администраторы контролируют период аутентификации. Благодаря системе многократной аутентификации каждый пользователь проходит проверку по протоколу Kerberos только один раз. После этого пользователю не нужно повторно вводить личные данные.
Комментарии закрыты.