Microsoft plant, die NTLM-Authentifizierung in Windows 11 abzuschaffen
Microsoft hat angekündigt, dass das NTLM-Authentifizierungsprotokoll aus Windows 11 fliegen wird. Damit will der Konzern endlich auf Sicherheitsbedenken reagieren und Angriffe über dieses Protokoll endgültig unmöglich machen.
Windows 11 nutzt dieses Protokoll nicht mehr als Standard, doch Microsoft bietet für diverse Drittanbieter und Unternehmen noch immer die Kompatibilität für NTLM an. Doch jetzt gibt es eine klare Ansage aus Redmond - NTLM wird als Altlast aus Windows 11 komplett verschwinden.
Kerberos hat dabei als Authentifizierungsprotokoll NTLM abgelöst und ist nun das aktuelle Standardprotokoll für mit Domänen verbundenen Geräten in allen Windows-Versionen seit Windows 2000.
Bedrohungsakteure haben NTLM ausgiebig in den sogenannten NTLM-Relay-Angriffen ausgenutzt, bei denen sie anfällige Netzwerkgeräte (einschließlich Domänencontroller) dazu zwingen, sich bei Servern unter der Kontrolle der Angreifer zu authentifizieren, wodurch sie ihre Berechtigungen erhöhen und die vollständige Kontrolle über die Windows-Domäne erlangen. Wir hatten immer wieder davon berichtet.
Trotzdem wird NTLM immer noch auf Windows-Servern verwendet. Angreifern können daher eine Reihe bekannter Schwachstellen wie ShadowCoerce, DFSCoerce, PetitPotam und RemotePotato0 auszunutzen, die darauf ausgelegt sind, die Abschwächung von NTLM-Relay-Angriffen zu umgehen.
Jetzt arbeitet Microsoft an zwei neuen Kerberos-Funktionen: IAKerb (Initial and Pass Through Authentication Using Kerberos) und Local KDC (Local Key Distribution Center). Man setzt also auf neue, bessere Alternativen.
"Das lokale KDC für Kerberos baut auf dem Security-Account-Manager des lokalen Rechners auf, sodass die Fernauthentifizierung lokaler Benutzerkonten über Kerberos erfolgen kann", erklärt Matthew Palko von Microsoft in einem Beitrag in der Techcommunity.
Microsoft beabsichtigt, diese beiden neuen Kerberos-Funktionen in Windows 11 einzuführen, um die Verwendung von Kerberos zu erweitern. Einen Zeitplan für die beiden neuen Protokolle und für den Rauswurf von NTLM gibt es aber bisher nicht.
"Die Verringerung der Verwendung von NTLM wird letztendlich dazu führen, dass es in Windows 11 deaktiviert wird. Wir verfolgen einen datengesteuerten Ansatz und überwachen den Rückgang der NTLM-Nutzung, um festzustellen, wann die Deaktivierung sicher sein wird", so Palko.
Siehe auch:
New Technology LAN Manager am Ende
Es gibt damit nur ein Problem: Während es schon lange klar ist, dass NTLM (kurz für New Technology LAN Manager) zum Beispiel zur Authentifizierung von Remote-Nutzern anfällig ist, wird es noch immer eingesetzt.Windows 11 nutzt dieses Protokoll nicht mehr als Standard, doch Microsoft bietet für diverse Drittanbieter und Unternehmen noch immer die Kompatibilität für NTLM an. Doch jetzt gibt es eine klare Ansage aus Redmond - NTLM wird als Altlast aus Windows 11 komplett verschwinden.
Kerberos hat dabei als Authentifizierungsprotokoll NTLM abgelöst und ist nun das aktuelle Standardprotokoll für mit Domänen verbundenen Geräten in allen Windows-Versionen seit Windows 2000.
Bedrohungsakteure haben NTLM ausgiebig in den sogenannten NTLM-Relay-Angriffen ausgenutzt, bei denen sie anfällige Netzwerkgeräte (einschließlich Domänencontroller) dazu zwingen, sich bei Servern unter der Kontrolle der Angreifer zu authentifizieren, wodurch sie ihre Berechtigungen erhöhen und die vollständige Kontrolle über die Windows-Domäne erlangen. Wir hatten immer wieder davon berichtet.
Trotzdem wird NTLM immer noch auf Windows-Servern verwendet. Angreifern können daher eine Reihe bekannter Schwachstellen wie ShadowCoerce, DFSCoerce, PetitPotam und RemotePotato0 auszunutzen, die darauf ausgelegt sind, die Abschwächung von NTLM-Relay-Angriffen zu umgehen.
NTLM-Relay-Angriffe
Microsoft ist dabei schon seit über zehn Jahren dazu übergegangen, Entwickler zu raten, kein NTLM mehr in ihren Anwendungen zu verwenden. Administratoren sollen NTLM entweder deaktivieren oder ihre Server so zu konfigurieren, dass NTLM-Relay-Angriffe mit Active Directory Certificate Services (AD CS) blockiert werden. Genutzt haben diese Ratschläge allerdings noch zu wenig. Infografik Sicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch
Jetzt arbeitet Microsoft an zwei neuen Kerberos-Funktionen: IAKerb (Initial and Pass Through Authentication Using Kerberos) und Local KDC (Local Key Distribution Center). Man setzt also auf neue, bessere Alternativen.
"Das lokale KDC für Kerberos baut auf dem Security-Account-Manager des lokalen Rechners auf, sodass die Fernauthentifizierung lokaler Benutzerkonten über Kerberos erfolgen kann", erklärt Matthew Palko von Microsoft in einem Beitrag in der Techcommunity.
Microsoft beabsichtigt, diese beiden neuen Kerberos-Funktionen in Windows 11 einzuführen, um die Verwendung von Kerberos zu erweitern. Einen Zeitplan für die beiden neuen Protokolle und für den Rauswurf von NTLM gibt es aber bisher nicht.
"Die Verringerung der Verwendung von NTLM wird letztendlich dazu führen, dass es in Windows 11 deaktiviert wird. Wir verfolgen einen datengesteuerten Ansatz und überwachen den Rückgang der NTLM-Nutzung, um festzustellen, wann die Deaktivierung sicher sein wird", so Palko.
Zusammenfassung
- Microsoft plant Entfernung von NTLM aus Windows 11
- NTLM wegen Anfälligkeit für Angriffe kritisiert
- Kerberos ersetzt NTLM als Standardprotokoll
- Trotz Schwachstellen wird NTLM weiter genutzt
- Microsoft rät seit Jahren von NTLM-Nutzung ab
- Entwicklung von zwei neuen Kerberos-Funktionen
- Deaktivierungszeitpunkt von NTLM noch unklar
Siehe auch:
Thema:
Neue Windows 11-Downloads
Beliebte Windows 11-Downloads
Windows 11-Videos
- So wird Windows 11 24H2 auf nicht unterstützter Hardware installiert
- Windows 11 vom USB-Stick installieren: Schnell und einfach erledigt
- Windows 11: So geht das Backup vorinstallierter Treiber beim Neu-PC
- Windows 11: Installationsmedium mit eigenen Treibern - so geht's
- Ayaneo Kun: Vielseitiger Gaming-Handheld mit Windows 11 im Test
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 11 FAQ Einträge
Beliebt im Preisvergleich
- Windows & Sonstige:
Neue Nachrichten
- Samsung Health: Nutzer müssen Daten für KI freigeben, sonst Löschung
- GDID: Microsoft bestätigt nicht deaktivierbare Windows-Gerätekennung
- FritzSmart und Repeater: Firmware-Updates für 4 Geräte stehen bereit
- Schweizer Armee verbannt Microsoft für deutsche OpenDesk-Lösung
- Long March 10B: China landet erstmals Raketenstufe auf dem Meer
- Nur heute: 13 Weekend-Deals bei Media Markt & Saturn, die sich lohnen
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen