أعلنت شركة مايكروسوفت عن ذلك مخططات للقضاء على NT LAN Manager (NTLM) في نظام التشغيل Windows 11 في المستقبل، حيث يتجه نحو طرق بديلة للمصادقة ويعزز الأمان.
وقالت شركة التكنولوجيا العملاقة: “ينصب التركيز على تعزيز بروتوكول مصادقة Kerberos، الذي كان البروتوكول الافتراضي منذ عام 2000، وتقليل الاعتماد على NT LAN Manager (NTLM)”. “تتضمن الميزات الجديدة لنظام التشغيل Windows 11 المصادقة الأولية والتمريرية باستخدام Kerberos (IAKerb) ومركز توزيع المفاتيح المحلي (مركز السيطرة على الأمراض) لـ Kerberos.”
يسمح IAKerb للعملاء بالمصادقة على Kerberos عبر نطاق واسع من طبولوجيا الشبكة. الميزة الثانية، وهي مركز توزيع المفتاح المحلي (KDC) لـ Kerberos، تعمل على توسيع دعم Kerberos ليشمل الحسابات المحلية.
تم تقديم NTLM لأول مرة في التسعينيات مجموعة من البروتوكولات الأمنية تهدف إلى توفير المصادقة والنزاهة والسرية للمستخدمين. إنها أداة تسجيل دخول واحد (SSO) تعتمد على بروتوكول الاستجابة للتحدي الذي يثبت للخادم أو وحدة تحكم المجال أن المستخدم يعرف كلمة المرور المرتبطة بالحساب.
ومنذ ذلك الحين تم استبداله ببروتوكول مصادقة آخر يسمى Kerberos منذ إصدار نظام التشغيل Windows 2000، على الرغم من استمرار استخدام NTLM كآلية احتياطية.
“الفرق الرئيسي بين NTLM وKerberos هو كيفية تعامل البروتوكولين مع المصادقة. يعتمد NTLM على مصافحة ثلاثية بين العميل والخادم لمصادقة المستخدم،” CrowdStrike ملاحظات. “يستخدم Kerberos عملية مكونة من جزأين تستفيد من خدمة إصدار التذاكر أو مركز توزيع المفاتيح.”
هناك تمييز مهم آخر وهو أنه بينما يعتمد NTLM على تجزئة كلمة المرور، فإن Kerberos يستفيد من التشفير.
إلى جانب NTLM نقاط الضعف الأمنية الكامنةأصبحت التكنولوجيا عرضة لهجمات الترحيل، مما قد يسمح للجهات الفاعلة الضارة بذلك اعتراض محاولات المصادقة والفوز دخول غير مرخص لموارد الشبكة.
وقالت مايكروسوفت إنها تعمل أيضًا على حل مثيلات NTLM المشفرة في مكوناتها استعدادًا لقرار تعطيل NTLM أخيرًا في نظام التشغيل Windows 11، مضيفة أنها تجري تحسينات تشجع استخدام Kerberos بدلاً من NTLM.
قال ماثيو بالكو، رئيس إدارة منتجات Microsoft للمؤسسات والأمن: “سيتم تمكين كل هذه التغييرات بشكل افتراضي ولن تتطلب التكوين في معظم السيناريوهات”. “سيظل NTLM متاحًا كبديل للحفاظ على التوافق الحالي.”