Windows-Sicherheit: Microsoft schränkt NTLM-Nutzung stark ein
Windows erhält im Juni umfangreiche Sicherheitsänderungen. Dazu werden zunächst im Canary Channel des Insider-Programms neue Authentifizierungsfunktionen eingeführt, um die Abhängigkeit vom NT LAN Manager (NTLM) zu verringern.
NTLM gilt seit Jahren als Sicherheitsrisiko. Angreifer können Hashes abfangen und für Pass-the-Hash-Angriffe oder Relay-Attacken nutzen. Obwohl das sicherere Kerberos-Protokoll Standard ist, griff Windows in bestimmten Netzwerkkonstellationen bislang automatisch auf NTLM zurück. Diese Fallbacks sollen nun weitgehend entfallen. NTLM stammt aus den frühen Neunzigerjahren und wurde mit Windows NT eingeführt, als das Internet noch keine große Rolle spielte.
Wie Microsoft ankündigt, werden dafür zwei Protokollerweiterungen eingeführt. Mit IAKerb und LocalKDC will das Unternehmen die Notwendigkeit von NTLM deutlich reduzieren. Administratoren können damit moderne Identitätsnachweise einsetzen, wo bisher ältere Verfahren nötig waren.
Die neuen Protokolle basieren auf etablierten Standards und sollen die Fehleranfälligkeit verringern.
In der aktuellen Vorschauversion lassen sich beide Werkzeuge über die Registry konfigurieren. IAKerb ist standardmäßig aktiviert, LocalKDC bleibt vorerst deaktiviert. Die Umstellung soll den Schutz vor dem Diebstahl von Zugangsdaten verbessern. Gleichzeitig können ältere Anwendungen ohne Unterstützung moderner Verfahren vorübergehend Kompatibilitätsprobleme verursachen. Besonders in Umgebungen mit Legacy-Software ist eine sorgfältige Planung der Migration erforderlich.
Nutzt ihr noch Software, die auf NTLM angewiesen ist? Wie bewertet ihr den Vorstoß, alte Zöpfe abzuschneiden? Teilt eure Erfahrungen in den Kommentaren!
Siehe auch:
Abschied vom unsicheren NTLM
Davon betroffen sind sowohl künftige Client-Versionen als auch Windows Server 2025. Ziel ist es, bekannte Angriffsvektoren dauerhaft zu schließen. Es ist die zweite Phase der angekündigten Sicherheitshärtungen durch den Verzicht auf NTLM.NTLM gilt seit Jahren als Sicherheitsrisiko. Angreifer können Hashes abfangen und für Pass-the-Hash-Angriffe oder Relay-Attacken nutzen. Obwohl das sicherere Kerberos-Protokoll Standard ist, griff Windows in bestimmten Netzwerkkonstellationen bislang automatisch auf NTLM zurück. Diese Fallbacks sollen nun weitgehend entfallen. NTLM stammt aus den frühen Neunzigerjahren und wurde mit Windows NT eingeführt, als das Internet noch keine große Rolle spielte.
Wie Microsoft ankündigt, werden dafür zwei Protokollerweiterungen eingeführt. Mit IAKerb und LocalKDC will das Unternehmen die Notwendigkeit von NTLM deutlich reduzieren. Administratoren können damit moderne Identitätsnachweise einsetzen, wo bisher ältere Verfahren nötig waren.
Die neuen Protokolle basieren auf etablierten Standards und sollen die Fehleranfälligkeit verringern.
Zwei neue Kerberos-Lösungen
Die Funktion IAKerb richtet sich vor allem an große Firmennetzwerke. Kerberos benötigt normalerweise eine direkte Verbindung zu einem Domain Controller. Ist diese durch Netzwerksegmentierungen blockiert, leitet IAKerb Authentifizierungsanfragen über einen Proxy-Dienst weiter. So bleibt der Vorgang auf einem geschützten Pfad, ohne auf ältere Standards zurückzugreifen.IAKerb ist standardmäßig aktiviert, LocalKDC ist standardmäßig deaktiviert. Beide Funktionen lassen sich über Registrierungsschlüssel konfigurieren
Kerberos-basierte Anmeldungen
Für lokale Konten und eigenständige Rechner ohne Domänenanbindung ist LocalKDC vorgesehen. Das lokale Key Distribution Center erlaubt Kerberos-basierte Anmeldungen in Arbeitsgruppen oder Peer-to-Peer-Netzwerken. In solchen Szenarien kam bislang häufig NTLM zum Einsatz und war oft die einzige praktikable Lösung für den Datenaustausch.In der aktuellen Vorschauversion lassen sich beide Werkzeuge über die Registry konfigurieren. IAKerb ist standardmäßig aktiviert, LocalKDC bleibt vorerst deaktiviert. Die Umstellung soll den Schutz vor dem Diebstahl von Zugangsdaten verbessern. Gleichzeitig können ältere Anwendungen ohne Unterstützung moderner Verfahren vorübergehend Kompatibilitätsprobleme verursachen. Besonders in Umgebungen mit Legacy-Software ist eine sorgfältige Planung der Migration erforderlich.
Weitere Schutzmaßnahmen
Zusätzlich zu den Änderungen rund um NTLM plant Microsoft weitere Härtungsmaßnahmen. Windows soll Post-Quanten-Kryptografie künftig tiefergehend unterstützen, um Daten vor möglichen Entschlüsselungsversuchen durch Quantencomputer zu schützen. Außerdem gelten strengere Regeln für Hardware-Treiber: Das System lädt standardmäßig nur noch Treiber, die das offizielle Kompatibilitätsprogramm durchlaufen haben. Dadurch soll das Einschleusen von Schadcode erschwert werden.Nutzt ihr noch Software, die auf NTLM angewiesen ist? Wie bewertet ihr den Vorstoß, alte Zöpfe abzuschneiden? Teilt eure Erfahrungen in den Kommentaren!
Zusammenfassung
- Microsoft verzichtet künftig auf NTLM zur Schließung von Angriffsvektoren
- Das Protokoll IAKerb ermöglicht Kerberos-Nutzung über Proxy-Verbindungen
- Mit LocalKDC sind Kerberos-Anmeldungen nun auch für lokale Konten möglich
- Administratoren können die neuen Funktionen über die Registry konfigurieren
- Strenge Regeln für Hardware-Treiber erschweren das Einschleusen von Code
- Zukünftige Systeme unterstützen zum Schutz Post-Quanten-Kryptografie
Siehe auch:
Thema:
Beliebte Downloads
Beliebt im Preisvergleich
- Windows & Sonstige:
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon