Microsoft představil tříletý plán pro odstranění protokolu NTLM z prostředí Windows
Microsoft zveřejnil podrobný tříletý plán pro úplné odstranění autentizačního protokolu NTLM z budoucích verzí Windows, čímž ukončí více než třicetiletou éru tohoto staršího bezpečnostního mechanismu. NTLM byl oficiálně označen jako zastaralý v červnu 2024 a již nepřijímá bezpečnostní aktualizace, přičemž jeho pokračující využívání vystavuje organizace řadě bezpečnostních rizik, včetně zranitelnosti vůči relay útokům, replay útokům a man-in-the-middle útokům vyplývajícím z použití slabé kryptografie na bázi algoritmů MD4 a MD5. Plánovaný přechod proběhne ve třech fázích: První fáze, která je již k dispozici pro Windows Server 2025 a Windows 11 verze 24H2, nabízí pokročilé nástroje pro audit využívání NTLM v prostředí organizace. Druhá fáze, naplánovaná na druhou polovinu roku 2026, přinese nové technologie jako IAKerb a Local Key Distribution Center, které mají řešit časté překážky bránící migraci na Kerberos, včetně problémů s připojením k doménovému řadiči, autentizace lokálních účtů a pevně zakódovaného použití protokolů v jádrových komponentách Windows.
Třetí fáze pak přinese výchozí deaktivaci síťové autentizace NTLM v příští velké verzi Windows Server a přidružených verzích klientských systémů Windows, přičemž protokol v operačním systému zůstane přítomen a bude jej možné explicitně znovu aktivovat prostřednictvím nových nástrojů správy politik. Microsoft zdůrazňuje, že deaktivace NTLM neznamená jeho úplné odstranění, ale dodání Windows ve stavu bezpečném již v základním nastavení, kde bude operační systém upřednostňovat moderní autentizační alternativy založené na protokolu Kerberos. Organizacím Microsoft doporučuje zahájit audit využití NTLM, zmapovat závislosti napříč aplikacemi a službami, migrovat a ověřovat kritické pracovní zátěže s Kerberem a začít testovat konfigurace bez NTLM v neprodukčních prostředích.
Další články
CISA rozšířila katalog KEV o další aktivně zneužívané zranitelnosti
AI Act vstupuje do kritické fáze
