Microsoft muốn vô hiệu hóa xác thực NTLM trong Windows 11 | VN-Zoom | Cộng đồng Chia Sẻ Kiến Thức Công Nghệ và Phần Mềm Máy Tính

Adblocker detected! Please consider reading this notice.

We've detected that you are using AdBlock Plus or some other adblocking software which is preventing the page from fully loading.

We don't have any banner, Flash, animation, obnoxious sound, or popup ad. We do not implement these annoying types of ads!

We need money to operate the site, and almost all of it comes from our online advertising.

Please add https://vn-z.vn to your ad blocking whitelist or disable your adblocking software.

×

Microsoft muốn vô hiệu hóa xác thực NTLM trong Windows 11

Santoso

Administrator
Thành viên BQT
1691046087_windows_11_story443fbda03da11eba.jpeg


Các phiên bản Windows khác nhau đã sử dụng Kerberos làm giao thức xác thực chính trong hơn 20 năm. Tuy nhiên, trong một số trường hợp nhất định, HĐH phải sử dụng một phương pháp khác, NTLM (NT LAN Manager). Hôm nay, Microsoft thông báo rằng họ đang mở rộng việc sử dụng Kerberos, với kế hoạch cuối cùng là loại bỏ hoàn toàn việc sử dụng NTLM.

Trong một bài đăng trên blog , Microsoft tuyên bố rằng NTLM tiếp tục được một số doanh nghiệp và tổ chức sử dụng để xác thực Windows vì nó "không yêu cầu kết nối mạng cục bộ với Bộ điều khiển miền". Nó cũng là "giao thức duy nhất được hỗ trợ khi sử dụng tài khoản cục bộ" và nó "hoạt động khi bạn không biết máy chủ mục tiêu là ai"

Microsoft thông báo rằng:

Những lợi ích này đã dẫn đến việc một số ứng dụng và dịch vụ mã hóa cứng việc sử dụng NTLM thay vì cố gắng sử dụng các giao thức xác thực khác hiện đại hơn như Kerberos. Kerberos cung cấp các đảm bảo bảo mật tốt hơn và có khả năng mở rộng cao hơn NTLM, đó là lý do tại sao nó hiện là giao thức mặc định được ưa thích trong Windows.
Vấn đề là mặc dù các doanh nghiệp có thể tắt NTLM để xác thực nhưng các ứng dụng và dịch vụ được kết nối cứng đó lại có thể gặp sự cố. Đó là lý do tại sao Microsoft đã bổ sung thêm hai tính năng xác thực mới cho Kerberos.

Một là Xác thực ban đầu và xác thực thông qua bằng Kerberos (IAKerb), điều này sẽ cho phép "một máy khách không có tầm nhìn trực tiếp tới Bộ điều khiển miền xác thực thông qua một máy chủ có tầm nhìn thẳng". Cái còn lại là Trung tâm phân phối khóa cục bộ (KDC) dành cho Kerberos, bổ sung hỗ trợ xác thực cho các tài khoản cục bộ.

Những thay đổi này đang được thực hiện để về lâu dài Kerberos sẽ là giao thức xác thực Windows duy nhất. Microsoft đã tuyên bố:

Việc giảm sử dụng NTLM cuối cùng sẽ dẫn đến việc nó bị vô hiệu hóa trong Windows 11. Chúng tôi đang áp dụng phương pháp tiếp cận dựa trên dữ liệu và giám sát việc giảm mức sử dụng NTLM để xác định khi nào thì tắt an toàn.
Sau khi quyết định được đưa ra, trước tiên Microsoft sẽ tắt NTLM theo mặc định, nhưng các doanh nghiệp sẽ có thể kích hoạt lại nó trong trường hợp họ gặp phải sự cố tương thích. Microsoft vẫn chưa công bố thời gian biểu cụ thể khi nào tất cả những điều này sẽ diễn ra.
 


Top