Inhaltsverzeichnis
Windows 11 – in Zukunft soll die NTLM-Authentifizierung entfernt werden
In der fortwährenden Bemühung, die Sicherheit des weitverbreiteten Betriebssystems Windows zu optimieren, hat Microsoft kürzlich strategische Pläne zur Verbesserung seiner Sicherheitsprotokolle vorgestellt. Mit einem beeindruckenden Nutzerkreis von über einer Milliarde steht die Sicherheit für Microsoft unweigerlich im Vordergrund seiner Entwicklungs- und Optimierungsstrategien. In diesem Kontext hat das Unternehmen angekündigt, das New Technology LAN Manager (NTLM)-Protokoll in Windows 11 zu eliminieren – ein Schritt, der vor dem Hintergrund wiederkehrender Sicherheitsprobleme mit NTLM steht. Einen Ersatz soll das Kerberos-Protokoll bieten, welches als robuster und sicherer gilt. Obwohl diese Änderung möglicherweise als längst überfällig betrachtet wird, hat Microsoft noch keinen konkreten Zeitplan für die Implementierung der Neuerungen in Windows 11 veröffentlicht.
In diesem Blogbeitrag bieten wir Ihnen einen umfassenden Einblick in die bevorstehenden Änderungen.
Was ist NTLM und wozu wird es verwendet?
Windows New Technology LAN Manager (NTLM) repräsentiert ein Paket von Sicherheitsprotokollen, das von Microsoft bereitgestellt wird. Es hat den Zweck, die Authentifizierung der Benutzeridentität sicherzustellen und die Integrität sowie Vertraulichkeit der Benutzeraktivitäten zu schützen. Konkret handelt es sich bei NTLM um ein Single Sign-On (SSO)-Werkzeug, welches Benutzer mittels eines Challenge-Response-Protokolls verifiziert, ohne dass diese ein Passwort eingeben müssen.
Obwohl NTLM bekannte Sicherheitslücken aufweist, bleibt es weit verbreitet und wird auch in neuen Systemen implementiert, um die Kompatibilität mit älteren Clients und Servern sicherzustellen.
Diese Änderungen wurden angekündigt
In einem umfassenden Blogbeitrag erläutert Microsoft, dass Kerberos zwar seit mehr als zwei Jahrzehnten als Standard-Authentifizierungsprotokoll in Windows fungiert, jedoch in bestimmten Szenarien nach wie vor versagt, was den Einsatz von NTLM erforderlich macht. Um solche Spezialfälle zu adressieren, hat das Unternehmen in Windows 11 neue Ausweichmechanismen entwickelt. Neben dem Feature „Initial and Pass Through Authentication Using Kerberos (IAKerb)“ soll das „Local Key Distribution Center (KDC) for Kerberos“ als Game-Changer fungieren. Microsoft kündigte außerdem die Einführung verbesserter NTLM-Audit- und Managementfunktionen an, um Unternehmen einen besseren Einblick in ihre NTLM-Nutzung zu geben.
Der Softwarekonzern hat nicht ausführlich dargelegt, warum es Kerberos stärkt und NTLM auslaufen lässt, jedoch war NTLM über die Jahre hinweg berüchtigt für seine Anfälligkeit gegenüber sogenannten „NTLM-Relay-Angriffen“. Bei diesen kann ein entfernter Angreifer einen authentifizierten Benutzer innerhalb eines Netzwerks imitieren. Forscher haben im Laufe der Jahre neue Techniken für NTLM-Relay-Angriffe entdeckt.
Kerberos erfordert grundsätzlich den Zugriff auf einen Domänencontroller und die Angabe des Zielservers. Diese Bedingungen sind nicht immer erfüllbar, was zu Authentifizierungsproblemen führt, insbesondere wenn NTLM nicht als Alternative zur Verfügung steht. Um die Windows-Authentifizierung zu stärken und die Verwendung von NTLM zu minimieren, plant Microsoft, diese Einschränkungen von Kerberos mit künftigen Windows 11-Updates zu beseitigen.
IAKerb wird Kunden die Möglichkeit bieten, sich in einer breiteren Palette von Netzwerktopologien mittels Kerberos zu authentifizieren. Dabei wird der lokale KDC für Kerberos lokale Konten unterstützen. Es wird erwartet, dass Unternehmen diese Verbesserungen in Windows 11 automatisch erhalten, ohne dass zusätzliche Maßnahmen erforderlich sind.
Microsoft plant, in den kommenden Monaten detaillierte Informationen zu den spezifischen Änderungen bekannt zu geben und diese weiter zu erläutern.
Was Unternehmen beachten sollten
In Windows 11 wird NTLM nach und nach deaktiviert. Allerdings hat Microsoft zugesichert, dass Unternehmen übergangsweise die Möglichkeit erhalten werden, NTLM bei Bedarf zu aktivieren. In der Zwischenzeit empfiehlt Microsoft den IT-Abteilungen, mit der Erfassung ihrer NTLM-Nutzung zu beginnen. Entwickler sollten in ihren Anwendungen nach fest integrierten NTLM-Funktionen suchen und diese durch neuere Funktionen ersetzen.
Softwarekaufen24 präsentiert eine Vielzahl von Softwarelösungen für Unternehmen zu einem hervorragenden Preis-Leistungs-Verhältnis, seien es Serverbetriebssysteme wie Windows Server oder Datenbankmanagementsysteme wie Microsoft SQL Server. Selbstverständlich bieten wir auch für den privaten Gebrauch unverzichtbare Programme wie Microsoft Office oder effektive Antivirensoftware an.