Microsoft eliminará gradualmente NTLM en favor de Kerberos

Microsoft ha anunciado que planea eliminar NT LAN Manager (NTLM) en Windows 11 en el futuro, a medida que gira hacia métodos alternativos para la autenticación y refuerza la seguridad.

"La atención se centra en fortalecer el protocolo de autenticación Kerberos, que ha sido el predeterminado desde el año 2000, y reducir la dependencia de NT LAN Manager (NTLM)", dijo el gigante tecnológico. "Las nuevas características para Windows 11 incluyen la autenticación inicial y de paso a través mediante Kerberos (IAKerb) y un centro de distribución de claves (KDC) local para Kerberos".

IAKerb permite a los clientes autenticarse con Kerberos en una amplia gama de topologías de red. La segunda característica, un centro de distribución de claves (KDC) local para Kerberos, amplía la compatibilidad con Kerberos a las cuentas locales.

Introducido por primera vez en la década de 1990, NTLM es un conjunto de protocolos de seguridad destinados a proporcionar autenticación, integridad y confidencialidad a los usuarios. Es una herramienta de inicio de sesión único (SSO) que se basa en un protocolo de desafío-respuesta que demuestra a un servidor o controlador de dominio que un usuario conoce la contraseña asociada a una cuenta.

Desde entonces, ha sido suplantado por otro protocolo de autenticación llamado Kerberos desde el lanzamiento de Windows 2000, aunque NTLM se sigue utilizando como mecanismo de reserva.

"La principal diferencia entre NTLM y Kerberos está en la forma en que los dos protocolos gestionan la autenticación. NTLM se basa en un protocolo de enlace de tres vías entre el cliente y el servidor para autenticar a un usuario", señala CrowdStrike. "Kerberos utiliza un proceso de dos partes que aprovecha un servicio de concesión de tickets o un centro de distribución de claves".

Otra distinción crucial es que, mientras que NTLM se basa en el hash de contraseñas, Kerberos aprovecha el cifrado.

Además de las debilidades de seguridad inherentes a NTLM, la tecnología se ha vuelto vulnerable a los ataques de retransmisión, lo que podría permitir a los malos actores interceptar los intentos de autenticación y obtener acceso no autorizado a los recursos de la red.

Microsoft dijo que también está trabajando para abordar las instancias NTLM codificadas en sus componentes en preparación para el cambio para deshabilitar finalmente NTLM en Windows 11, y agregó que está realizando mejoras que fomentan el uso de Kerberos en lugar de NTLM.

"Todos estos cambios estarán habilitados de forma predeterminada y no requerirán configuración para la mayoría de los escenarios", dijo Matthew Palko, líder senior de gestión de productos de Microsoft en Enterprise and Security. "NTLM seguirá estando disponible como alternativa para mantener la compatibilidad existente".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta