Microsoft отключит NTLM по умолчанию в будущих версиях Windows

Microsoft объявила о том, что в будущих версиях Windows по умолчанию будет отключён 30-летний протокол аутентификации NTLM из-за уязвимостей в системе безопасности.

NTLM (New Technology LAN Manager) — это протокол аутентификации типа «запрос-ответ», представленный в 1993 году в Windows NT 3.1 и являющийся преемником протокола LAN Manager (LM).

Его уже заменил Kerberos, который в настоящее время является протоколом по умолчанию для устройств, подключённых к домену и работающих под управлением Windows 2000 или более поздних версий. NTLM же используется в качестве резервного метода аутентификации, когда Kerberos недоступен.

С момента своего выпуска NTLM широко использовался в атаках ретрансляции, когда злоумышленники заставляют скомпрометированные сетевые устройства проходить аутентификацию на серверах, контролируемых ими для повышения привилегий и получения полного контроля над доменом Windows. Несмотря на это, NTLM по-прежнему присутствует на серверах Windows, что позволяет хакерам использовать уязвимости, такие как PetitPotam, ShadowCoerce, DFSCoerce и RemotePotato0, для обхода мер защиты.

NTLM также подвергается атакам типа pass-the-hash, в ходе которых киберпреступники используют системные уязвимости или развёртывают вредоносное программное обеспечение для кражи хешей из целевых систем. Эти хешированные пароли используются для аутентификации скомпрометированного пользователя, что позволяет красть конфиденциальные данные и распространяться дальше по сети.

NTLM отключат по умолчанию в следующем крупном релизе Windows Server и соответствующих версиях клиентских приложений Windows.

Microsoft также представила трёхэтапный план перехода, разработанный для снижения рисков, связанных с NTLM. На первом этапе администраторы смогут