Microsoft chốt thời điểm vô hiệu hóa xác thực NTLM trong Windows

Nhiều phiên bản Windows khác nhau đã sử dụng Kerberos làm giao thức xác thực chính trong hơn 20 năm qua. Tuy nhiên, trong một số trường hợp nhất định, hệ điều hành phải sử dụng một phương pháp khác, chẳng hạn như NTLM (NT LAN Manager).

NTLM là một giao thức cũ xác thực của Microsoft và đã được thay thế bằng Kerberos trong Windows 2000. Tuy nhiên, NTLM hiện vẫn được sử dụng để lưu trữ mật khẩu Windows local hoặc trong tệp NTDS.dit trong Active Directory miền điều khiển (Bộ điều khiển miền Active Directory). NTLM hiện bị đánh giá là không an toàn và ẩn chứa nhiều lỗ hổng bảo mật nghiêm trọng.

Trở lại thời điểm tháng 10 năm ngoái, Microsoft đã chính thức đưa thông báo cho biết công ty đang có kế hoạch mở rộng việc sử dụng Kerberos, với mục tiêu cuối cùng là loại bỏ hoàn toàn việc sử dụng NTLM trên Windows, đặc biệt là bắt đầu trên Windows 11 và các phiên bản sau.

Công ty đã đăng tải trên trang web chính thức của mình thông tin về việc cập nhật danh sách các tính năng Windows sắp bị loại bỏ, hiện đã bao gồm NTLM (New Technology Lan Manager). Thông báo này đề cập tới tất cả các phiên bản NTLM bao gồm LANMAN, NTLMv1 và NTLMv2.

Tuy nhiên, bên cạnh đó, Microsoft cũng cho biết thêm rằng họ sẽ tiếp tục duy trì NTLM trên "bản phát hành tiếp theo của Windows Server, và bản phát hành hàng năm tới của Windows"

Nghĩa là xác thực NTLM sẽ hoạt động trên bản cập nhật 2024 cho Windows 11 - phiên bản 24H2, và trên Windows Server 2025. Microsoft hiện đang đảm bảo khả năng tương thích yêu cầu hệ thống của hai hệ điều hành.

Tất cả các phiên bản NTLM, bao gồm LANMAN, NTLMv1 và NTLMv2, không còn được phát triển tính năng, cũng như không còn được áp dụng trong tương lai dài hạn nữa. Việc sử dụng NTLM sẽ chỉ tiếp tục trong bản phát hành tiếp theo của Windows Server và bản phát định kỳ năm tiếp theo của Windows.

Các lệnh gọi tới NTLM nên được thay thế bằng các lệnh gọi tới Negotiate, lệnh này sẽ cố gắng xác thực bằng Kerberos và chỉ quay lại NTLM khi cần thiết.

Trước đó Microsoft đã giải thích rằng lý do đằng sau động thái này là để tăng cường tính bảo mật của xác thực, vì các giao thức hiện đại hơn như Kerberos sẽ có khả năng bảo vệ tốt hơn. Công ty hiện đã khuyến nghị sử dụng giao thức Negotiate để đảm bảo NTLM sẽ chỉ được sử dụng khi không có Kerberos.

NTLM thường được các doanh nghiệp và tổ chức sử dụng để xác thực Windows, vì giao thức này "không yêu cầu kết nối mạng cục bộ với Domain Controller". Đây cũng là "giao thức duy nhất được hỗ trợ khi sử dụng tài khoản cục bộ" và "hoạt động được ngay khi bạn không biết máy chủ mục tiêu là gì".

Những lợi ích này đã dẫn đến việc một số ứng dụng và dịch vụ mã hóa cứng duy trì sử dụng NTLM, thay vì chuyển sang các giao thức xác thực khác hiện đại hơn như Kerberos. Kerberos cung cấp mức độ bảo mật tốt hơn và có khả năng mở rộng cao hơn NTLM. Đó là lý do tại sao Kerberos hiện là giao thức mặc định được ưa chuộng trong môi trường Windows.

Vấn đề là mặc dù các doanh nghiệp có thể tắt NTLM để xác thực nhưng, nhưng những ứng dụng và dịch vụ được kết nối cứng đó lại có thể gặp sự cố. Đây là lý do tại sao Microsoft đã bổ sung thêm nhiều tính năng xác thực mới cho Kerberos. Những thay đổi này đang được triển khai để về lâu dài, Kerberos sẽ trở thành giao thức xác thực Windows duy nhất.