Microsoft plant, die NTLM-Authentifizierung in Windows 11 abzuschaffen

Microsoft hat angekündigt, dass das NTLM-Authen­ti­fi­zie­rungs­pro­to­koll aus Windows 11 fliegen wird. Damit will der Kon­zern end­lich auf Si­cher­heits­be­den­ken reagieren und Angriffe über dieses Pro­to­koll end­gül­tig un­mög­lich machen.
Windows 11, Microsoft Windows 11, Windows 11 Logo, Windows 10 Nachfolger, Windows 11 Hintergrundbilder, Windows 11 Background

New Technology LAN Manager am Ende

Es gibt damit nur ein Problem: Während es schon lange klar ist, dass NTLM (kurz für New Technology LAN Manager) zum Beispiel zur Authentifizierung von Remote-Nutzern anfällig ist, wird es noch immer eingesetzt.

Windows 11 nutzt dieses Protokoll nicht mehr als Standard, doch Microsoft bietet für diverse Drittanbieter und Unternehmen noch immer die Kompatibilität für NTLM an. Doch jetzt gibt es eine klare Ansage aus Redmond - NTLM wird als Altlast aus Windows 11 komplett verschwinden.


Kerberos hat dabei als Authentifizierungsprotokoll NTLM abgelöst und ist nun das aktuelle Standardprotokoll für mit Domänen verbundenen Geräten in allen Windows-Versionen seit Windows 2000.

Bedrohungsakteure haben NTLM ausgiebig in den sogenannten NTLM-Relay-Angriffen ausgenutzt, bei denen sie anfällige Netzwerkgeräte (einschließlich Domänencontroller) dazu zwingen, sich bei Servern unter der Kontrolle der Angreifer zu authentifizieren, wodurch sie ihre Berechtigungen erhöhen und die vollständige Kontrolle über die Windows-Domäne erlangen. Wir hatten immer wieder davon berichtet.

Trotzdem wird NTLM immer noch auf Windows-Servern verwendet. Angreifern können daher eine Reihe bekannter Schwachstellen wie ShadowCoerce, DFSCoerce, PetitPotam und RemotePotato0 auszunutzen, die darauf ausgelegt sind, die Abschwächung von NTLM-Relay-Angriffen zu umgehen.

NTLM-Relay-Angriffe

Microsoft ist dabei schon seit über zehn Jahren dazu übergegangen, Entwickler zu raten, kein NTLM mehr in ihren Anwendungen zu verwenden. Administratoren sollen NTLM entweder deaktivieren oder ihre Server so zu konfigurieren, dass NTLM-Relay-Angriffe mit Active Directory Certificate Services (AD CS) blockiert werden. Genutzt haben diese Ratschläge allerdings noch zu wenig. Infografik Sicherheit im Netz: Deutsche fürchten sich vor DatenmissbrauchSicherheit im Netz: Deutsche fürchten sich vor Datenmissbrauch Jetzt arbeitet Microsoft an zwei neuen Kerberos-Funktionen: IAKerb (Initial and Pass Through Authentication Using Kerberos) und Local KDC (Local Key Distribution Center). Man setzt also auf neue, bessere Alternativen.

"Das lokale KDC für Kerberos baut auf dem Security-Account-Manager des lokalen Rechners auf, sodass die Fernauthentifizierung lokaler Benutzerkonten über Kerberos erfolgen kann", erklärt Matthew Palko von Microsoft in einem Beitrag in der Techcommunity.

Microsoft beabsichtigt, diese beiden neuen Kerberos-Funktionen in Windows 11 einzuführen, um die Verwendung von Kerberos zu erweitern. Einen Zeitplan für die beiden neuen Protokolle und für den Rauswurf von NTLM gibt es aber bisher nicht.

"Die Verringerung der Verwendung von NTLM wird letztendlich dazu führen, dass es in Windows 11 deaktiviert wird. Wir verfolgen einen datengesteuerten Ansatz und überwachen den Rückgang der NTLM-Nutzung, um festzustellen, wann die Deaktivierung sicher sein wird", so Palko.

Zusammenfassung
  • Microsoft plant Entfernung von NTLM aus Windows 11
  • NTLM wegen Anfälligkeit für Angriffe kritisiert
  • Kerberos ersetzt NTLM als Standardprotokoll
  • Trotz Schwachstellen wird NTLM weiter genutzt
  • Microsoft rät seit Jahren von NTLM-Nutzung ab
  • Entwicklung von zwei neuen Kerberos-Funktionen
  • Deaktivierungszeitpunkt von NTLM noch unklar

Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!