New Technology LAN Manager(NTLM)認証プロトコルは終焉が近づいており、次期バージョンのWindows Serverでは既定で有効にならないと、Microsoftは述べています。
このレガシープロトコルは30年以上にわたりWindowsに存在してきましたが、リレー攻撃、リプレイ攻撃、マン・イン・ザ・ミドル攻撃などを含むさまざまな種類の攻撃に対して脆弱であり、Microsoftはより強力なKerberosベースの代替手段を優先してNTLMを非推奨としました。
更新や機能強化はすでに受けていないにもかかわらず、NTLMは依然として使用されており、認証の欠如、弱い暗号、限られた診断データにより、組織が攻撃にさらされる原因となっています。
「非推奨の状態にもかかわらず、NTLMは、レガシー依存関係、ネットワーク上の制約、あるいはアプリケーションロジックの固定化により、Kerberosのような最新プロトコルが現実的でない環境で引き続き広く使われています」と、Microsoftは指摘しています。
このテック大手の目標はNTLMを完全に排除することであり、Windows ServerおよびWindowsクライアントで既定で無効化するために、3段階のアプローチを取っています。
現在、組織はWindows Server 2025およびWindows 11(バージョン24H2以降)の強化されたNTLM監査機能を使用して、自社環境でこのプロトコルがどこで、なぜまだ使われているのかを把握できます。
次の段階では、ドメインコントローラー、ローカルアカウント認証、そしてハードコードされたNTLM使用に関連して、NTLM排除時に直面する障害を克服することが含まれます。これらの解決策は、Windows Server 2025またはWindows 11(バージョン24H2以降)向けに、年後半に提供される予定です。
管理者は、NTLMへのフォールバックなしでKerberos認証を行うためのIAKerbおよびローカルKey Distribution Center(KDC)(プレリリース)を利用できるようになり、Microsoftは中核となるWindows機能を更新して、まずKerberosをネゴシエートするようにし、これによりNTLMの使用を減らします。
次期のWindows Serverの主要リリースおよび関連するWindowsクライアントには引き続きNTLMが含まれますが、既定では無効となり、新しいポリシー制御によって明示的に再有効化する必要があります。NTLMのみのケースに対する組み込みサポートも含まれます。
「既定でNTLMを無効化することは、まだWindowsからNTLMを完全に削除することを意味するわけではありません。代わりに、ネットワークNTLM認証がブロックされ、自動的には使用されなくなる、セキュア・バイ・デフォルトの状態でWindowsが提供されることを意味します」と、Microsoftは説明しています。
このテック大手によると、NTLMの無効化は、パスワードレスでフィッシング耐性のある未来に向けた大きな一歩である一方、組織は監査、依存関係のマッピング、Kerberosへの移行、NTLMオフ構成のテスト、そして利用可能になり次第Kerberosのアップグレードを有効化することを通じて、NTLM削減の取り組みを開始または加速する必要があります。
翻訳元: https://www.securityweek.com/microsoft-moves-closer-to-disabling-ntlm/
