Microsoft will die verbreitete, eigentlich überholte Authentifizierungstechnik NT LAN Manager (NTLM) möglichst bald durch modernere und sichere Verfahren ersetzen. Der Konzern favorisiert laut einem Blog-Post die NTLM-Alternative Kerberos. Zu dem Zweck sollen einige Einschränkungen behoben werden, damit NTLM auch in Nischen keine sinnvolle Option mehr ist. Schließlich wurden bereits mehrere Sicherheitslücken bekannt, die mit dem alten Standard zusammenhängen.
Aktuell ist es noch so, dass NTLM laut Microsoft die einzige Möglichkeit zur Authentifizierung von lokalen Accounts auf Windows ist. Das Protokoll benötigt zudem keinen dedizierten Domänencontroller und lässt sich entsprechend einfach implementieren. Außerdem funktioniert es laut Microsoft auch dann, wenn der Zielserver unbekannt ist.
Ein Wechsel auf Kerberos
Diese Vorteile haben dazu geführt, dass einige Unternehmen NTLM fest in ihre dedizierten Applikationen als Authentifizierungsmethode implementieren. Deshalb müssen Enterprise-Kunden in manchen Fällen weiterhin NTLM unterstützen, da gekaufte Software sonst nicht mehr richtig funktioniert.
Microsoft arbeitet nun daran, auch Kerberos als Alternative für lokale Accounts zu implementieren. Die Änderung wird allerdings erst ab Windows 11 eingeführt. Da viele Enterprise-Kunden weiterhin auf Windows 10 setzen, dürfte es noch einige Jahre dauern, bis sie von NTLM auf das neuere Protokoll wechseln.
Außerdem soll Kerberos um IAKerb erweitert werden. Damit können sich Clients auch ohne Zugang zu einem Domain-Controller authentifizieren. Zudem sollen in Windows-Komponenten integrierte NTLM-Features durch Kerberos-Pendants ersetzt werden, indem ein passendes Negotiate-Protokoll eingeführt wird. Parallel bekommen Admins mehr Möglichkeiten, NTLM-Tools zu verfolgen und im eigenen Firmennetzwerk bei Bedarf zu blocken.
Im Blog-Post gibt Microsoft einige Tipps, wie Kunden von ihrer existierenden NTLM-Infrastruktur migrieren können.
