New Technology LAN Manager (NTLM) byl fakticky nahrazen Kerberem, multiplatformním nástrojem vyvinutým MIT, který funguje jako ověřovací protokol pro všechny verze Windows od Windows 2000. Teď ale definitivně zmizí. Společnost Microsoft dokonce již v roce 2010 doporučila uživatelům nepoužívat NTLM. Stále však zůstával v provozu jako záloha pro případ, že by Kerberos selhal. Nyní se však už definitivně nachýlil jeho konec.
NTLM je z hlediska bezpečnosti považován za nedostatečný protože byl mnohokrát zneužit aktéry hrozeb k ověřování spojení mezi sítí jejich cíle a jejich vlastními škodlivými servery. Odtud mohou převzít kontrolu nad počítači svých obětí. Útočníci také dokázali ukrást hesla NTLM hashe od cílů prostřednictvím zranitelností v jejich systému a použít je k ověření přístupu do systému oběti a k pohybu v celé její síti. Z těchto důvodů společnost Microsoft již dlouho doporučuje správcům zakázat NTLM nebo zablokovat své servery před útoky NTLM relay pomocí služby Active Directory Certificate Services (AD CS).
Jako náhradu za NTLM společnost Microsoft v současné době vyvíjí IAKerb (Initial and Pass Through Authentication Using Kerberos) a Local KDC (Local Key Distribution Center).
První z nich je postaven na správci bezpečnostních účtů místního počítače, takže lze realizovat vzdálené ověřování pomocí systému Kerberos. IAKerb se pak používá k přenosu zpráv Kerberos mezi počítači, „aniž by bylo nutné přidávat podporu dalších podnikových služeb, jako je DNS, netlogon nebo DCLocator,“ uvedl Matthew Palko ze společnosti Microsoft.
„IAKerb také nevyžaduje, abychom na vzdáleném počítači otevírali nové porty pro příjem zpráv Kerberos,“ dodal. Palko také uvedl, že „NTLM bude i nadále k dispozici jako záložní řešení pro zachování stávající kompatibility“, správci však budou mít k dispozici více ovládacích prvků pro monitorování a omezování NLTM v rámci své sítě. Palko však uzavírá, že „omezení používání NTLM nakonec vyvrcholí jeho zakázáním ve Windows 11“.
Zdroj: Techradar.com