A Microsoft está buscando uma autenticação mais segura do Windows com novos recursos para Kerberos que acabariam eliminando o uso do protocolo NTLM.
Um protocolo de autenticação de resposta a desafio, NTLM (New Technology LAN Manager) destina-se a fornecer autenticação, integridade e confidencialidade, mas o NTLM é propenso a ataques de retransmissão e as senhas podem ser facilmente forçadas com força bruta usando hardware moderno, tornando o protocolo fraco.
Kerberos, que se baseia na criptografia de chave simétrica e oferece melhores garantias de segurança em comparação com o NTLM, tem sido o protocolo de autenticação padrão do Windows desde o Windows 2000.
No entanto, o sistema operacional da Microsoft continua a usar NTLM e Kerberos, principalmente porque o último não pode ser usado em determinados cenários, fazendo com que o sistema operacional volte para o primeiro.
Agora, a Microsoft diz que está trabalhando em dois novos recursos para Kerberos para cobrir esses cenários e eliminar a necessidade de uso de NTLM, melhorando assim “a barra de segurança de autenticação para todos os usuários do Windows”.
O primeiro recurso, autenticação inicial e de passagem usando Kerberos (IAKerb), é uma extensão pública que “permite que um cliente sem linha de visão para um controlador de domínio se autentique por meio de um servidor que tenha linha de visão”, Microsoft explica.
Com o IAKerb, as mensagens Kerberos são enviadas por proxy para o servidor em nome do cliente, e as mesmas garantias de segurança criptográfica que o protocolo oferece são usadas para proteger as mensagens em trânsito, para evitar ataques de repetição ou retransmissão.
“Esse tipo de proxy é útil em ambientes segmentados por firewall ou cenários de acesso remoto”, afirma a Microsoft.
O segundo recurso, um Centro de Distribuição de Chaves (KDC) local para Kerberos, depende do Gerenciador de Contas de Segurança da máquina local para oferecer autenticação remota de contas de usuários locais via Kerberos.
“Isso aproveita o IAKerb para permitir que o Windows passe mensagens Kerberos entre máquinas locais remotas sem ter que adicionar suporte para outros serviços corporativos como DNS, Netlogon ou DCLocator. O IAKerb também não exige que abramos novas portas na máquina remota para aceitar mensagens Kerberos”, observa a Microsoft.
“A autenticação por meio do KDC local usa AES pronto para uso, melhorando a segurança da autenticação local”, explica a gigante da tecnologia.
Ademais, a Microsoft está atualizando esses componentes do Windows com NTLM integrado, para transferi-los para o uso do protocolo Negotiate, ou seja, Kerberos e IAKErb e KDC local. Na maioria dos casos, essas alterações não exigirão configuração e o NTLM permanecerá como uma opção alternativa.
A Microsoft também afirma que está estendendo os controles de gerenciamento para que os administradores possam rastrear e bloquear melhor o uso de NTLM em seus ambientes, como informações de serviço em logs existentes do visualizador de eventos para solicitações NTLM e políticas granulares no nível de serviço.
“A redução do uso de NTLM culminará na desativação dele no Windows 11. Estamos adotando uma abordagem baseada em dados e monitorando as reduções no uso de NTLM para determinar quando será seguro desativá-lo”, observa a Microsoft.
A gigante da tecnologia está incentivando os clientes a usarem os novos controles aprimorados para se prepararem para a desativação do NTLM. Os mesmos controles, observa a empresa, permitirão que os clientes reativem o NTLM por motivos de compatibilidade, se necessário.
A Microsoft também recomenda catalogar o uso de NTLM, para saber quais aplicativos e serviços podem impedir a desabilitação do protocolo, e auditar o código para uso codificado de NTLM.