Microsoft hat kürzlich bekannt gegeben, dass es plant, die Benutzerauthentifizierung über den NT LAN Manager (NTLM) in Windows 11 auslaufen zu lassen und stattdessen die sicherere Kerberos-Authentifizierung zu verwenden. Diese Entscheidung steht im Einklang mit Microsofts fortwährenden Bemühungen, die Sicherheit seines Betriebssystems zu stärken, das von über einer Milliarde Menschen weltweit genutzt wird. Bereits ein Jahr zuvor hatte Microsoft beschlossen, die Server Message Block Version 1 (SMB1) in Windows 11 Home nicht weiterzuführen.
Der Technologieriese erklärte in einem ausführlichen Blogbeitrag, dass Kerberos zwar seit über zwei Jahrzehnten das Standardauthentifizierungsprotokoll für Windows ist, es jedoch in bestimmten Szenarien an seine Grenzen stößt und daher der Einsatz von NTLM erforderlich wird. Um diese Randfälle zu adressieren, führt Microsoft in Windows 11 neue Rückfallmechanismen ein, wie die Initial- und Durchlaufauthentifizierung mit Kerberos (IAKerb) und ein lokales Key Distribution Center (KDC) für Kerberos.
Verständnis von Kerberos
Kerberos ist ein Authentifizierungsprotokoll für Computernetzwerke, das Knoten ermöglicht, ihre Identität sicher über potenziell unsichere Netzwerke nachzuweisen. Es basiert auf dem Konzept von Tickets, verschlüsselten Daten, die die Identität von Clients gegenüber Servern und umgekehrt bestätigen können. Entwickelt am Massachusetts Institute of Technology (MIT), wurde Kerberos nach dem dreiköpfigen Hund aus der griechischen Mythologie benannt, was seinen dreigliedrigen Sicherheitsansatz symbolisiert: den Client, den Server und das Key Distribution Center (KDC). Das KDC ist eine vertrauenswürdige dritte Partei, die Tickets an Benutzer ausgibt und es ihnen ermöglicht, Dienste im Netzwerk zu nutzen, ohne ihr Passwort wiederholt eingeben zu müssen.
Was ist NTLM?
NT LAN Manager (NTLM) ist ein Authentifizierungsprotokoll, das in Netzwerken verwendet wird, die Systeme mit dem Windows-Betriebssystem und eigenständige Systeme umfassen. Im Gegensatz zu Kerberos verwendet NTLM kein Ticketing-System von Drittanbietern. Stattdessen setzt es auf einen Challenge-Response-Mechanismus, um die Identität eines Benutzers nachzuweisen. Obwohl NTLM viele Jahre lang ein fester Bestandteil der Windows-Authentifizierung war, gilt es als weniger sicher als Kerberos. Dies liegt daran, dass NTLM für verschiedene Arten von Angriffen anfällig ist, wie z.B. Relay-Angriffe, bei denen ein Angreifer Authentifizierungsdaten abfangen und weiterleiten kann, um auf eine Netzwerkressource zuzugreifen. Infolgedessen gab es in den letzten Jahren Bestrebungen, von NTLM zu sichereren Authentifizierungsmethoden wie Kerberos überzugehen.
Was steht an?
Die anhaltende Beliebtheit von NTLM resultiert aus seinen verschiedenen Vorteilen, wie z.B. der Nichterfordernis einer lokalen Netzwerkverbindung zu einem Domain Controller (DC) und der Nichterfordernis, den Zielserver zu identifizieren. Die Bequemlichkeit, die es bietet, hat jedoch dazu geführt, dass Entwickler NTLM in Anwendungen und Diensten fest verankert haben, oft ohne sicherere und anpassungsfähigere Protokolle wie Kerberos in Betracht zu ziehen. Um Kerberos attraktiver zu machen und seine Einschränkungen zu umgehen, entwickelt Microsoft Funktionen in Windows 11, die dieses moderne Protokoll zu einer realistischeren Wahl für Anwendungen und Dienste machen.
Microsofts letztendliches Ziel ist es, NTLM in Windows 11 standardmäßig zu deaktivieren, vorausgesetzt, die Telemetriedaten unterstützen diesen Schritt. In der Zwischenzeit verbessert das Unternehmen die NTLM-Verwaltungstools, um Organisationen einen klareren Überblick über die Nutzung von NTLM in ihrer Infrastruktur zu geben und ihnen mehr Kontrolle über die Deaktivierung des Protokolls für bestimmte Dienste zu bieten.
