Microsoft strebt an, NTLM zu ersetzen und Kerberos-Authentifizierung auszubauen

In einem ständig wandelnden digitalen Umfeld ist robuste Sicherheit von größter Bedeutung. Microsoft plant, die Nutzerauthentifizierung, einen Kernpunkt der Windows-Sicherheit, zu überarbeiten und die Zuverlässigkeit und Flexibilität von Kerberos zu stärken, während die Abhängigkeit vom älteren NT LAN Manager (NTLM) verringert wird.

Seit der Jahrtausendwende ist Kerberos das Standardauthentifizierungsprotokoll von Windows, jedoch gibt es Fälle, in denen es unzureichend ist und Windows auf NTLM zurückgreift.

Um diese Lücken zu schließen, führt Microsoft für Windows 11 neue Funktionen wie „Initial and Pass Through Authentication Using Kerberos“ (IAKerb) und ein lokales „Key Distribution Center“ (KDC) für Kerberos ein. Dies soll die Verwendung und Sicherheit von Kerberos erweitern und den Bedarf an NTLM reduzieren.

NTLM wurde bisher geschätzt, da es beispielsweise keine lokale Netzwerkverbindung zu einem Domain-Controller benötigt und mit lokalen Konten kompatibel ist. Trotz der Vorteile von Kerberos zögerten viele Unternehmen, NTLM abzuschalten, aus Sorge um Kompatibilitätsprobleme.

Die beiden neuen Features von Windows 11, IAKerb und das lokale KDC, sollen die Abhängigkeit von NTLM verringern. IAKerb verbessert die Authentifizierung von Kerberos in verschiedenen Netzwerkumgebungen, während das lokale KDC die Sicherheit der lokalen Authentifizierung durch AES-Verschlüsselung erhöht.

Neben diesen Neuerungen plant Microsoft auch, fest codierte NTLM-Instanzen in bestehenden Windows-Komponenten durch das „Negotiate“-Protokoll zu ersetzen, sodass Dienste Kerberos anstelle von NTLM nutzen können.

Des Weiteren wird Microsoft die NTLM-Verwaltungstools verbessern, um Administratoren mehr Kontrolle über die NTLM-Nutzung zu geben. Dies wird Transparenz hinsichtlich der Anwendungen bieten, die NTLM verwenden.

Das langfristige Ziel ist es, die Nutzung von NTLM so weit zu reduzieren, dass es in Windows 11 sicher deaktiviert werden kann. Microsoft beobachtet die Nutzung von NTLM genau und plant, es standardmäßig zu deaktivieren, sobald dies als sicher angesehen wird.

Microsoft rät, sich auf diese Änderungen vorzubereiten, indem man die NTLM-Nutzung dokumentiert, Code auf fest codierte NTLM-Instanzen überprüft und auf Updates achtet, die die Begrenzungen von Kerberos beheben.