Корпорация Microsoft официально объявила о планах отказаться от использования устаревшего протокола безопасности NTLM (New Technology LAN Manager) в качестве протокола по умолчанию в будущих версиях операционной системы Windows 11. Этот протокол, представленный ещё в 1993 году вместе с Windows NT 3.1, используется для сетевой аутентификации уже более трёх десятилетий.
Основной причиной данного решения является устранение критических уязвимостей безопасности, связанных с NTLM. Эти уязвимости могли делать пользователей, особенно корпоративных клиентов, подверженными вредоносным атакам и компрометации данных. Переход на более современные стандарты призван значительно повысить общий уровень защищённости систем.
Преемником NTLM станет протокол Kerberos, который будет использоваться для аутентификации по умолчанию. Kerberos поддерживает современные стандарты безопасности и призван эффективно выявлять и предотвращать угрозы, затрагивающие организации. Microsoft подчёркивает, что Kerberos обеспечивает более надёжную и стойкую к взлому аутентификацию.
Важно отметить, что полного удаления NTLM из Windows не произойдёт. Протокол останется в системе для обеспечения обратной совместимости со старыми приложениями и сценариями использования. Отключение по умолчанию означает, что система будет поставляться в состоянии «безопасность по умолчанию», где сетевая аутентификация NTLM заблокирована и не используется автоматически. Операционная система будет отдавать предпочтение Kerberos и другим современным методам.
Для работы с устаревшими системами и приложениями, которые всё ещё требуют NTLM, Microsoft разрабатывает новые возможности, такие как локальный KDC (центр распределения ключей) и IAKerb (предварительная версия). Эти инструменты призваны помочь в плавном переходе и решении специфических задач без ущерба для безопасности. Таким образом, Microsoft стремится сбалансировать внедрение современных стандартов защиты с необходимостью поддержки существующей ИТ-инфраструктуры.