Microsoft bắt đầu vô hiệu hóa xác thực NTLM trong Windows

Nhiều phiên bản Windows khác nhau đã sử dụng Kerberos làm giao thức xác thực chính trong hơn 20 năm qua. Tuy nhiên, trong một số trường hợp nhất định, hệ điều hành phải sử dụng một phương pháp khác, chẳng hạn như NTLM (NT LAN Manager).

NTLM là một giao thức cũ xác thực của Microsoft và đã được thay thế bằng Kerberos trong Windows 2000. Tuy nhiên, NTLM hiện vẫn được sử dụng để lưu trữ mật khẩu Windows local hoặc trong tệp NTDS.dit trong Active Directory miền điều khiển (Bộ điều khiển miền Active Directory). NTLM hiện bị đánh giá là không an toàn và ẩn chứa nhiều lỗ hổng bảo mật nghiêm trọng.

Trở lại thời điểm tháng 10 năm ngoái, Microsoft đã chính thức đưa thông báo cho biết công ty đang có kế hoạch mở rộng việc sử dụng Kerberos, với mục tiêu cuối cùng là loại bỏ hoàn toàn việc sử dụng NTLM trên Windows, đặc biệt là bắt đầu trên Windows 11 và các phiên bản sau.

Công ty đã đăng tải trên trang web chính thức của mình thông tin về việc cập nhật danh sách các tính năng Windows sắp bị loại bỏ, hiện đã bao gồm NTLM (New Technology Lan Manager). Thông báo này đề cập tới tất cả các phiên bản NTLM bao gồm LANMAN, NTLMv1 và NTLMv2.

Đến tháng 6 năm nay, Microsoft đã xác nhận rằng họ có kế hoạch ngừng hỗ trợ NTLM sau Windows 11 24H2 và Windows Server 2025 và do đó, tính năng này sẽ không còn khả dụng trong các phiên bản máy khách và máy chủ Windows trong tương lai.

 NTLM

Hôm nay, Microsoft đã bắt đầu xóa NTLM trên Windows 11 24H2 và Windows Server 2025, đồng thời thông báo rằng NTLMv1 đã bị xóa khỏi các phiên bản Windows đã đề cập ở trên.

Trước đó Microsoft đã giải thích rằng lý do đằng sau động thái này là để tăng cường tính bảo mật của xác thực, vì các giao thức hiện đại hơn như Kerberos sẽ có khả năng bảo vệ tốt hơn. Công ty hiện đã khuyến nghị sử dụng giao thức Negotiate để đảm bảo NTLM sẽ chỉ được sử dụng khi không có Kerberos.

Microsoft đã cập nhật thông báo trên trang tính năng ngừng hỗ trợ của mình, có nội dung như sau:

Tất cả các phiên bản NTLM, bao gồm LANMAN, NTLMv1 và NTLMv2, không còn được phát triển tính năng tích cực nữa và đã bị loại bỏ. Việc sử dụng NTLM sẽ tiếp tục được duy trì trong bản phát hành tiếp theo của Windows Server và bản phát hành hàng năm tiếp theo của Windows. Các lệnh gọi đến NTLM nên được thay thế bằng các lệnh gọi đến Negotiate, lệnh này sẽ cố gắng xác thực bằng Kerberos và chỉ chuyển sang NTLM khi cần thiết.

[Cập nhật - Tháng 11 năm 2024]: NTLMv1 đã bị xóa bắt đầu từ Windows 11 phiên bản 24H2 và Windows Server 20205.

NTLM thường được các doanh nghiệp và tổ chức sử dụng để xác thực Windows, vì giao thức này "không yêu cầu kết nối mạng cục bộ với Domain Controller". Đây cũng là "giao thức duy nhất được hỗ trợ khi sử dụng tài khoản cục bộ" và "hoạt động được ngay khi bạn không biết máy chủ mục tiêu là gì".

Những lợi ích này đã dẫn đến việc một số ứng dụng và dịch vụ mã hóa cứng duy trì sử dụng NTLM, thay vì chuyển sang các giao thức xác thực khác hiện đại hơn như Kerberos. Kerberos cung cấp mức độ bảo mật tốt hơn và có khả năng mở rộng cao hơn NTLM. Đó là lý do tại sao Kerberos hiện là giao thức mặc định được ưa chuộng trong môi trường Windows.

Vấn đề là mặc dù các doanh nghiệp có thể tắt NTLM để xác thực nhưng, nhưng những ứng dụng và dịch vụ được kết nối cứng đó lại có thể gặp sự cố. Đây là lý do tại sao Microsoft đã bổ sung thêm nhiều tính năng xác thực mới cho Kerberos. Những thay đổi này đang được triển khai để về lâu dài, Kerberos sẽ trở thành giao thức xác thực Windows duy nhất.

Ngoài NTLMv1, một tính năng bảo mật khác cũng đã bị xóa trên Windows 11 24H2. Microsoft đã xác nhận rằng Windows Information Protection (WIP) hoặc enterprise data protection (EDP) đang bị loại bỏ khỏi môi trường Windows. Tính năng này nhằm mục đích bảo vệ chống lại rò rỉ dữ liệu vô tình.

Thứ Bảy, 14/12/2024 16:10
31 👨 908
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ