Microsoft a annoncé qu’il des plans pour éliminer NT LAN Manager (NTLM) dans Windows 11 à l’avenir, car il s’oriente vers des méthodes alternatives d’authentification et renforce la sécurité.
« L’accent est mis sur le renforcement du protocole d’authentification Kerberos, qui est le protocole par défaut depuis 2000, et sur la réduction du recours à NT LAN Manager (NTLM) », a déclaré le géant de la technologie. « Les nouvelles fonctionnalités pour Windows 11 incluent l’authentification initiale et directe à l’aide de Kerberos (IAKerb) et un centre de distribution de clés local (KDC) pour Kerberos. »
IAKerb permet aux clients de s’authentifier auprès de Kerberos sur une large gamme de topologies de réseau. La deuxième fonctionnalité, un centre de distribution de clés (KDC) local pour Kerberos, étend la prise en charge de Kerberos aux comptes locaux.
Introduit pour la première fois dans les années 1990, NTLM est un suite de protocoles de sécurité destiné à fournir l’authentification, l’intégrité et la confidentialité aux utilisateurs. Il s’agit d’un outil d’authentification unique (SSO) qui s’appuie sur un protocole défi-réponse qui prouve à un serveur ou à un contrôleur de domaine qu’un utilisateur connaît le mot de passe associé à un compte.
Il a depuis été supplanté par un autre protocole d’authentification appelé Kerberos depuis la sortie de Windows 2000, bien que NTLM continue d’être utilisé comme mécanisme de secours.
« La principale différence entre NTLM et Kerberos réside dans la manière dont les deux protocoles gèrent l’authentification. NTLM s’appuie sur une négociation à trois entre le client et le serveur pour authentifier un utilisateur », CrowdStrike Remarques. « Kerberos utilise un processus en deux parties qui exploite un service d’octroi de tickets ou un centre de distribution de clés. »
Une autre distinction cruciale est que, alors que NTLM s’appuie sur le hachage de mot de passe, Kerberos exploite le chiffrement.
Outre les NTLM faiblesses inhérentes à la sécuritéla technologie est devenue vulnérable aux attaques par relais, permettant potentiellement à des acteurs malveillants de intercepter les tentatives d’authentification et gagner l’accès non autorisé aux ressources du réseau.
Microsoft a déclaré qu’il travaillait également sur la résolution des instances NTLM codées en dur dans ses composants en vue de la décision de désactiver finalement NTLM dans Windows 11, ajoutant qu’il apportait des améliorations qui encouragent l’utilisation de Kerberos au lieu de NTLM.
« Tous ces changements seront activés par défaut et ne nécessiteront pas de configuration dans la plupart des scénarios », a déclaré Matthew Palko, responsable de la gestion des produits chez Microsoft pour l’entreprise et la sécurité. « NTLM continuera d’être disponible comme solution de secours pour maintenir la compatibilité existante. »