اقدام مایکروسافت در ویندوز11/روشهای جدید برای تایید هویت و تقویت امنیت
مایکروسافت قصد دارد NT LAN Manager (NTLM) را در ویندوز 11 به مرور از میان ببرد و به جای آن از روشهای جایگزین برای تأیید هویت و تقویت امنیت استفاده کند.
شرکت مایکروسافت اعلام کرده است که تمرکز بر تقویت پروتکل احراز هویت کربروس است که از سال 2000 به عنوان پیشفرض به کار میرود و کاستن از وابستگی به NT LAN Manager (NTLM) میباشد. "ویژگیهای جدید برای ویندوز 11 شامل احراز هویت ابتدایی و گذرا با استفاده از کربروس (IAKerb) و یک مرکز توزیع کلید محلی (KDC) برای کربروس میشوند."
IAKerb به مشتریان این امکان را میدهد تا با استفاده از کربروس در گسترهی متنوعی از توپولوژیهای شبکه احراز هویت کنند. ویژگی دیگر، مرکز توزیع کلید محلی (KDC) برای کربروس، پشتیبانی از کربروس را به حسابهای محلی گسترش میدهد.
NTLM که در دهه 1990 معرفی شد، مجموعهای از پروتکلهای امنیتی است که قرار است تأیید هویت، اصالت و محرمانگی را به کاربران ارائه دهد. این یک ابزار واحد ورود یکبار به سیستم (SSO) است که بر پروتکل چالش-پاسخی بنا شده است که به سرور یا کنترلکننده دامنه اثبات میکند که یک کاربر رمزعبور مرتبط با یک حساب را میشناسد.
از آن زمان تا به حال، با معرفی پروتکل احراز هویت دیگری به نام کربروس از سال 2000، NTLM جایگزین شده است، اگرچه NTLM همچنان به عنوان یک مکانیزم زایل مورد استفاده قرار میگیرد.
"اصلیترین تفاوت بین NTLM و کربروس در نحوه مدیریت احراز هویت این دو پروتکل است. NTLM بر اساس یک دستدادن سه مرحلهای بین مشتری و سرور برای احراز هویت کاربران استوار است"، CrowdStrike توضیح میدهد. "کربروس از یک فرآیند دو مرحلهای استفاده میکند که از خدمت دهنده مجوز دهنده بلیط یا مرکز توزیع کلید بهره میبرد."
یک تفاوت مهم دیگر این است که در حالی که NTLM بر روی هش رمزعبور وابسته است، کربروس از رمزنگاری بهره میبرد.
بیشتر بدانید:
برای محافظت از امنیت شبکه و سیستم های خود با شرکت مانا نوین ایرانیان در ارتباط باشید
علاوه بر ضعفهای امنیتی ذاتی NTLM، این فناوری به حملات رله حساس شده و امکان دستیابی به تلاشهای احراز هویت و دسترسی غیرمجاز به منابع شبکه را به بدافزارها اجازه میدهد.
مایکروسافت اعلام کرده که در آمادهسازی برای تخصیص نهایی غیرفعالسازی NTLM در ویندوز 11، در حال رفع نمونههای ثابت NTLM در مؤلفههای خود است و افزوده است که بهبودهایی را ایجاد میکند که به استفاده از کربروس به جای NTLM تشویق میکند.
"تمامی این تغییرات به صورت پیشفرض فعال میشوند و برای اکثر حالات نیازی به پیکربندی ندارند"، متیو پالکو، مدیریت محصول برتر مایکروسافت در زمینه تجارت و امنیت، گفت. "NTLM به عنوان یک زایل برای حفظ سازگاری موجود، همچنان در دسترس خواهد بود."