A Microsoft anunciou que o protocolo de autenticação NTLM será eliminado no Windows 11 no futuro. NTLM (abreviação de New Technology LAN Manager) é uma família de protocolos usados para autenticar usuários remotos e fornecer segurança de sessão.
Kerberos, outro protocolo de autenticação, substituiu o NTLM e agora é o protocolo de autenticação padrão atual para dispositivos conectados ao domínio em todas as versões do Windows acima do Windows 2000.
Microsoft planeja eliminar a autenticação NTLM do Windows 11
Embora fosse o protocolo padrão usado nas versões antigas do Windows, o NTLM ainda é usado hoje e, se, por qualquer motivo, o Kerberos falhar, o NTLM será usado. Os agentes de ameaças exploraram extensivamente o NTLM em ataques de retransmissão NTLM , onde forçam dispositivos de rede vulneráveis (incluindo controladores de domínio) a se autenticarem em servidores sob o controle dos invasores, elevando privilégios para obter controle completo sobre o domínio do Windows.
Apesar disso, o NTLM ainda é usado em servidores Windows, permitindo que invasores explorem vulnerabilidades como ShadowCoerce, DFSCoerce, PetitPotam e RemotePotato0, projetadas para contornar as mitigações de ataque de retransmissão NTLM.
O NTLM também tem sido alvo de ataques pass-the-hash, onde os cibercriminosos exploram vulnerabilidades do sistema ou implantam software malicioso para adquirir hashes NTLM, que representam senhas com hash, de um sistema visado. Uma vez de posse do hash, os invasores podem utilizá-lo para se autenticar como usuário comprometido, obtendo assim acesso a dados confidenciais e espalhando-os lateralmente na rede.
Recomendação da empresa
A Microsoft diz que os desenvolvedores não devem mais usar NTLM em seus aplicativos desde 2010 e tem aconselhado os administradores do Windows a desabilitar o NTLM ou configurar seus servidores para bloquear ataques de retransmissão NTLM usando os Serviços de Certificados do Active Directory (AD CS).
No entanto, a empresa agora está trabalhando em dois novos recursos do Kerberos: IAKerb (autenticação inicial e de passagem usando Kerberos) e KDC local (Centro de distribuição de chaves local). A Microsoft também planeja expandir os controles de gerenciamento do NTLM, proporcionando aos administradores maior flexibilidade no monitoramento e restrição do uso do NTLM em seus ambientes.
A redução do uso de NTLM culminará na desativação do Windows 11. Estamos adotando uma abordagem baseada em dados e monitorando as reduções no uso de NTLM para determinar quando será seguro desativá-lo.
Enquanto isso, você pode usar os controles aprimorados que fornecemos para obter uma vantagem inicial. Depois de desativados por padrão, os clientes também poderão usar esses controles para reativar o NTLM por motivos de compatibilidade.
Palko.