Microsoft постепенно премахва NTLM в полза на Kerberos за по-силно удостоверяване

Microsoft обяви, че планира в бъдеще да премахне NT LAN Manager (NTLM) в Windows 11, тъй като се ориентира към алтернативни методи за удостоверяване и засилване на сигурността.

„Фокусът е върху укрепването на протокола за удостоверяване Kerberos, който е по подразбиране от 2000 г. насам, и намаляването на зависимостта от NT LAN Manager (NTLM)“, заяви технологичният гигант. „Новите функции за Windows 11 включват първоначално и проходно удостоверяване чрез Kerberos (IAKerb) и локален център за разпределение на ключове (KDC) за Kerberos.“

IAKerb позволява на клиентите да се удостоверяват с Kerberos в разнообразни мрежови топологии. Втората функция – локален център за разпределение на ключове (KDC) за Kerberos – разширява поддръжката на Kerberos до локални акаунти.

Представен за първи път през 90-те години на миналия век, NTLM е набор от протоколи за сигурност, предназначени да осигурят удостоверяване, цялостност и поверителност на потребителите. Това е инструмент за единично влизане (SSO), който разчита на протокол за предизвикателство-отговор, който доказва на сървъра или контролера на домейна, че потребителят знае паролата, свързана с даден акаунт.

След излизането на Windows 2000 той е заменен от друг протокол за удостоверяване, наречен Kerberos, въпреки че NTLM продължава да се използва като резервен механизъм.

„Основната разлика между NTLM и Kerberos е в начина, по който двата протокола управляват удостоверяването. NTLM разчита на тристранно ръкостискане между клиента и сървъра, за да удостовери потребителя“, отбелязва CrowdStrike. „Kerberos използва двукомпонентен процес, при който се използва услуга за предоставяне на тикети или център за разпределение на ключове.“

Друга съществена разлика е, че докато NTLM разчита на хеширане на пароли, Kerberos използва криптиране.

Освен присъщите на NTLM слабости в сигурността, технологията е станала уязвима за релейни атаки, което потенциално позволява на недоброжелатели да прихващат опити за удостоверяване и да получават неоторизиран достъп до мрежови ресурси.

Microsoft заяви, че също така работи по отстраняване на твърдо кодираните NTLM инстанции в своите компоненти в подготовка за преминаването към окончателно деактивиране на NTLM в Windows 11, като добави, че прави подобрения, които насърчават използването на Kerberos вместо NTLM.

„Всички тези промени ще бъдат активирани по подразбиране и няма да изискват конфигуриране за повечето сценарии“, каза Матю Палко, старши ръководител на Microsoft за управление на продукти в областта на предприятията и сигурността. „NTLM ще продължи да бъде на разположение като резервен вариант, за да се запази съществуващата съвместимост.“

#microsoft, # Windows 11

The Hacker News

Подобни

България започва изграждането на Национален оперативен център за киберсигурност

10.03.2026

Малките фирми са новата мишена на хакерите

10.03.2026

Нир Зук стартира Cylake

9.03.2026

Джефри Джоунс поема киберинициативите в By Light

9.03.2026

Предимствата на работата от разстояние идват със сериозни заплахи за сигурността

9.03.2026

Тръмп обещава по-агресивни действия срещу киберпрестъпността

9.03.2026

Споделете

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

"Обясняваме сложните неща с прости думи"