La sicurezza è in prima linea per Microsoft quando si tratta di Windows, visto che il suo sistema operativo è utilizzato da oltre un miliardo di utenti.
Dopo aver eliminato il Server Message Block versione 1 (SMB1) in Windows 11 Home, oggi ha rivelato che sta cercando di eliminare gradualmente l’autenticazione utente NT LAN Manager (NTLM) a favore di Kerberos.
Perché Microsoft vuole eliminare quest’autentificazione
In un post dettagliato sul blog, Microsoft ha spiegato che Kerberos è stato il protocollo di autenticazione predefinito su Windows per oltre 20 anni. Eppure, un po’ come il bug ventennale di Firefox, continua a fallire in alcuni scenari. Da qui l’uso di NTLM, ma anche questo non dà degli ottimi risultati.
Per affrontare questi casi limite, l’azienda sta sviluppando nuovi meccanismi di fallback in Windows 11 come l’autenticazione iniziale e pass through utilizzando Kerberos (IAKerb) e un centro di distribuzione delle chiavi locale (KDC) per Kerberos.
NTLM è ancora popolare perché presenta molteplici vantaggi, al punto da codificare NTLM in applicazioni e servizi senza nemmeno considerare protocolli più sicuri ed estensibili come Kerberos.
Ad oggi Kerberos però ha i suoi contro: presenta alcune limitazioni per aumentare la sicurezza, per questo non viene preso in considerazione nelle applicazioni che hanno l’autenticazione NTLM codificata. Per aggirare le limitazioni di Kerberos, Microsoft sta creando nuove funzionalità in Windows 11 per renderlo così praticabile per applicazioni e servizi. Questo però significa dover eliminare l’autentificazione NTLM.
Come Keberos diventerà il nuovo sistema di autentificazione
Già con IAKerb, Microsoft ha introdotto un tipo di autenticazione legato a Keberos, con un controller di dominio attraverso un server che ha accesso in linea d’aria alla suddetta infrastruttura. I messaggi sono crittografati e protetti anche durante il transito, il che rende IAKerb un meccanismo adatto negli ambienti di autenticazione remota.
Se si aggiunge anche un KDC locale per Kerberos per supportare gli account locali, si potranno passare messaggi tra computer locali remoti senza dover dipendere da DNS, ad oggi ancora sotto autentificazione NTLM.
Infatti i prossimi componenti Windows esistenti sfrutteranno invece il protocollo Negotiate in modo da poter beneficiare di IAKerb e del KDC locale per Kerberos. NTLM continuerà comunque a essere supportato come meccanismo di fallback per mantenere la compatibilità esistente.
Inoltre, Microsoft ha incoraggiato le organizzazioni a monitorare l’utilizzo di NTLM, a controllare il codice che codifica l’uso di questo protocollo legacy e a tenere traccia di ulteriori aggiornamenti.
