Microsoft объявила о планах постепенно отключить устаревший протокол аутентификации NTLM (New Technology LAN Manager) по умолчанию в будущих версиях Windows. Решение объясняется соображениями безопасности: использование NTLM связано с целым рядом критических уязвимостей, которые могут быть использованы для атак типа man-in-the-middle, replay и pass-the-hash.
NTLM уходит корнями в начало 1990-х годов — он был представлен еще в 1993 году вместе с Windows NT 3.1 как замена раннего LAN Manager. На протяжении десятилетий протокол выполнял ключевую задачу проверки подлинности, но со временем перестал соответствовать современным требованиям к криптографии и защите данных.
Вместо NTLM Microsoft делает ставку на Kerberos — более современный и защищенный механизм аутентификации, который поддерживает актуальные стандарты безопасности и лучше подходит для современных инфраструктур.
Важно, что отключение NTLM по умолчанию не означает немедленного удаления протокола из Windows. При необходимости NTLM можно будет включить вручную через групповые политики. Для поддержки устаревших сценариев Microsoft готовит дополнительные инструменты, включая Local KDC и IAKerb.
Переход будет происходить поэтапно:
- Текущий этап — расширенные средства аудита NTLM в Windows Server 2025 и Windows 11 версии 24H2. Они помогут администраторам понять, где протокол все еще используется.
- Вторая половина 2026 года — появление новых функций (IAKerb и Local KDC), призванных закрыть наиболее «болезненные сценарии» использования NTLM.
- Финальный этап — отключение NTLM-аутентификации по умолчанию в следующем крупном релизе Windows Server и связанных клиентских версиях Windows.
Microsoft рекомендует администраторам не откладывать подготовку: включить аудит NTLM, проанализировать зависимости приложений и сервисов, а также протестировать работу инфраструктуры в среде, где NTLM отключен. Для критически важных рабочих нагрузок компании настоятельно советуют переходить на Kerberos.
Источник: Windows Central
Теперь следить за нашими публикациями можно в Google Новостях, а прямую речь главреда, комментарии и самое интересное за день вы найдете в Telegram.
