Microsoft продовжує масштабну модернізацію системи автентифікації у Windows, поступово відходячи від застарілого протоколу NTLM на користь більш сучасних і безпечних рішень. Компанія оголосила про нові можливості входу в систему, які мають значно зменшити залежність від цього старого механізму та зробити корпоративні середовища безпечнішими.
NTLM поступово йде в минуле
Протягом останніх років Microsoft системно працює над тим, щоб витіснити NTLM із Windows. Замість нього компанія просуває Kerberos як основний стандарт автентифікації.
У наступних версіях Windows для клієнтів і серверів Microsoft планує ще радикальніший крок — за замовчуванням вимикати NTLM. Це стане черговим етапом у переході до більш сучасної моделі безпеки. У Windows Server 2025 компанія вже почала дозволяти адміністраторам перевіряти та аналізувати конфігурації, пов’язані з NTLM, щоб підготувати інфраструктуру до майбутніх змін.
Нові механізми автентифікації
У рамках майбутніх оновлень Windows 11 та серверних версій Microsoft представить нові сценарії автентифікації, які раніше вимагали використання NTLM. Тепер вони зможуть працювати через сучасні механізми Kerberos:
- IAKerb (Initial and Pass-Through Authentication using Kerberos)
- LocalKDC (Local Key Distribution Center)
Ці технології покликані закрити прогалини, які раніше змушували використовувати застарілий протокол.
Що таке IAKerb і навіщо він потрібен
IAKerb дозволяє використовувати Kerberos навіть у випадках, коли пристрій не має прямого доступу до контролера домену (Domain Controller).
У класичній моделі Kerberos така прямота є обов’язковою. Якщо зв’язок із DC відсутній, автентифікація могла переходити на менш безпечні методи, зокрема NTLM. IAKerb вирішує цю проблему: у процесі автентифікації кінцевий сервіс може виступати посередником, забезпечуючи безпечний обмін даними навіть у складних мережевих умовах.
LocalKDC для локальних сценаріїв
Другий компонент — LocalKDC — розширює можливості Kerberos для локальних облікових записів.
Це особливо важливо для:
- автономних пристроїв
- робочих груп без домену
- локальних середовищ, де немає централізованого контролера
Завдяки LocalKDC Windows зможе відмовитися від NTLM навіть у сценаріях, де раніше це було неможливо.
Менше NTLM — більше безпеки
IAKerb і LocalKDC разом формують основу для поступового зменшення залежності від NTLM як у корпоративних мережах, так і на локальних пристроях. Microsoft також підкреслює, що розробники отримають більш стабільні та передбачувані механізми автентифікації, які краще відповідають сучасним вимогам безпеки.
Хоча більшість організацій уже відмовляється від NTLM через його вразливості, деякі все ще використовують його у специфічних сценаріях. Нові технології мають допомогти повністю закрити ці «сірі зони».
Тестування вже зовсім близько
У найближчому оновленні Windows Insider Canary Channel Microsoft почне публічне тестування нових можливостей. IAKerb буде увімкнено за замовчуванням, тоді як LocalKDC спочатку залишиться вимкненим, але його можна буде активувати через реєстр Windows. Надалі ці функції поступово з’являтимуться у Group Policy та інших інструментах адміністрування.
Крок до повної відмови від застарілих протоколів
Microsoft відкрито закликає компанії починати тестування нових механізмів уже зараз, щоб підготуватися до майбутнього, де NTLM більше не відіграватиме ключової ролі. Це ще один крок у довгостроковій стратегії компанії — зробити Windows більш безпечною, сучасною та стійкою до атак у корпоративному середовищі.
Джерело: portaltele.com.ua