Microsoft napušta NTLM

AUTOR ·

Kompanija Microsoft je najavila da će postepeno ukidati sve verzije NTLM ili Network Level Trust Manager protokola kao dio svojih stalnih napora da ojača bezbjednost svojih Windows operativnih sistema od različitih prijetnji i ranjivosti. Ova odluka je objavljena na zvaničnoj stranici kompanije, ukazujući da će sljedeće izdanja Windows i Windows Server operativnih sistema biti poslednje verzije u kojima će NTLM biti podržan.

NTLM

Microsoft napušta NTLM; Source: Bing Image Creator

ŠTA JE NTLM?

NTLM je skup bezbjednosnih protokola koje je razvila kompanija Microsoft i koji igra ključnu ulogu u obezbjeđivanju autentifikacije, integriteta i povjerljivosti za korisnike u mrežnom okruženju. Uveden početkom 1990-ih, NTLM protokol je bio suštinska komponenta Microsoft okvira za autentifikaciju, posebno u starijim verzijama Windows i raznim starim aplikacijama.

NTLM je dizajniran da autentifikuje korisnike i računare u umreženom okruženju primjenom mehanizma izazov-odgovor tokom procesa prijave. Ovaj pristup pomaže u verifikaciji korisničkih identiteta bez prenošenja lozinki preko mreže, čime se povećava bezbjednost. Kada korisnik pokuša da se prijavi na sistem ili pristupi dijeljenom resursu na mreži, njegovo korisničko ime i lozinka se unose lokalno na njegov uređaj, čime se pokreće proces autentifikacije.

Kada se pokrene, server šalje izazov u ​​obliku slučajnog broja na uređaj klijenta. Klijent zatim koristi ovaj izazov zajedno sa heširanom lozinkom korisnika (NTLM heš) da generiše NTLM odgovor. Ovaj odgovor se šalje nazad serveru na verifikaciju. Ako generisani odgovor odgovara očekivanoj vrijednosti, proces autentifikacije je uspješan i pristup je odobren, u suprotnom, pokušaj prijave ne uspijeva.

 

RAZLOZI NTLM NAPUŠTANJA

Međutim, uprkos svojim početnim ciljevima dizajna, NTLM ima nekoliko inherentnih bezbjednosnih slabosti koje su iskorišćene tokom godina.

 

Sigurnost

Utvrđeno je da NTLM protokol ima nekoliko ranjivosti koje napadači mogu da iskoriste. Jedna takva ranjivost je poznata kao napadi čovjeka u sredini (eng. Man-in-the-middle – MITM) koji predstavljaju značajnu zabrinutost. Kod NTLM protokola samo klijent je autentifikovan na serveru, što čini sistem ranjivim na presretanje ove komunikacije, jer se lako mogu da ukrasti korisnički akreditivi i dobiti neovlašteni pristup sistemima.

 Relejni napadi su još jedna vrsta prijetnje koja koristi slabosti NTLM protokolu. U relejnom napadu, napadač se lažno predstavlja kao server kreiranjem proxy servera između dvije autentifikovane strane u mreži. Napadač zatim presreće zahteve i odgovore za autentifikaciju, što mu omogućava da dobije pristup sistemima za koje ne bi trebalo da ima ovlašteni pristup.

Proslijediti heš (eng. pass-the-hash) napad su još jedan vektor prijetnje koji se može koristiti protiv NTLM protokola. U ovoj vrsti napada, napadač krade heširanu lozinku korisnika iz mrežnog saobraćaja ili iskorištavanjem ranjivosti u softverskim aplikacijama. On zatim koristi ove hešove da bi se autentifikovao kao korisnik na drugim sistemima unutar mreže.

Još jedan sigurnosni problem NTLM protokola je njegovo oslanjanje na slabe kriptografske prakse, pošto ovaj protokol ne podržava moderne algoritme za šifrovanje kao što su AES ili SHA-256. Ovaj nedostatak podrške za savremene algoritme šifrovanja je značajna slabost, jer je starije algoritme lakše razbiti korištenjem grube sile (eng. brute force) ili drugih metoda, što napadačima olakšava pristup korisničkim akreditivima.

 

Moderni mehanizmi autentifikacije

Tu je i problem zastarelosti NTLM protokola što za posljedicu ima nedostatak podrške za moderne metode autentifikacije kao što su biometrija, autentifikacija u više koraka (eng. multifactor authentication – MFA) i FIDO ključevi:

  • Biometrijska autentifikacija koristi jedinstvene fizičke karakteristike ili karakteristike ponašanja za verifikaciju identiteta korisnika, obezbeđujući dodatni nivo bezbednosti pored tradicionalne autentifikacije zasnovane na lozinki,
  • MFA dodaje još jedan faktor, kao što je token ili verifikacioni kôd aplikacije za pametne telefone, što otežava napadačima da dobiju neovlašteni pristup čak i ako su dobili korisničku lozinku,
  • FIDO ključevi su hardverski tokeni koji generišu jednokratne kôdove za autentifikaciju, eliminišući potrebu da korisnici pamte svoje lozinke i smanjujući rizik od phishing napada.

 

NTLM NAPUŠTANJE

NTLM, koji uključuje LANMAN, NTLMv1 i NTLMv2 nije u aktivnom razvoju i kompanija Microsoft ga napušta što predstavlja značajan korak ka poboljšanju bezbednosti mreže. Prvobitno dizajniran da obezbijedi autentifikaciju, integritet i povjerljivost korisnicima na Windows mrežama, NTLM protokol je decenijama predstavljao temeljni element Microsoft okvira za autentifikaciju. Međutim, njegove inherentne bezbjednosne slabosti učinile su ga atraktivnom metom za sajber napade tokom godina.

Administratori sistema i timovi za sajber bezbjednost se pozivaju da sprovedu temeljne revizije svoje infrastrukture kako bi identifikovali sve slučajeve korišćenja NTLM protokola i planirali njegovog zamjenu. Ova revizija je ključna za nesmetan prelazak na modernije i bezbjednije metode autentifikacije. Proces zastarevanja će biti postepen, a NTLM protokol će nastaviti da radi u sljedećem izdanju Windows Server operativnog sistema i sljedećem godišnjem izdanju Windows operativnog sistema. Međutim, nakon novembra 2026. godine, funkcije koje se oslanjaju na starije tehnologije kao što je NTLM protokol možda više neće primati ažuriranja, signalizirajući namjeru kompanije da pređe na modernije metode autentifikacije.

Odluka kompanije Microsoft da ukine NTLM označava značajan korak ka poboljšanju bezbednosti njegovih operativnih sistema. Kompanija je radila na poboljšanju bezbednosti tako što je zaštitila Windows operativni sistem od raznih prijetnji i ranjivosti. Postepenim ukidanjem NTLM protokola, kompanija ima za cilj da podstakne organizacije da usvoje bezbjednije metode autentifikacije.

 

NTLM TRANZICIJA

Kompanija Microsoft poziva sistemske administratore i timove za sajber bezbjednost da iskoriste ovu priliku da sprovedu temeljne revizije svoje infrastrukture kako bi identifikovali sve slučajeve korišćenja NTLM protokola. Da bi zamijenili NTLM protokol, kompanija Microsoft savjetuje programere da umjesto njega koriste Negotiate pozive. Bezbjednosni paket Negotiate je dizajniran da izabere najbezbjedniji dostupan protokol, obično Kerberos. Međutim, ako Kerberos ne može da se koristi zbog sistemskih ograničenja ili nedovoljnih informacija koje poziva aplikacija, Negotiate će se vratiti na NTLM protokol.

Proces napuštanja će uticati na različite aplikacije i usluge koje se oslanjaju na NTLM protokol za autentifikaciju. To uključuje zastarele aplikacije, Active Directory starije verzije i neki softver treće strane. Kompanija Microsoft savjetuje organizacijama da planiraju unaprijed i testiraju svoje sisteme sa Negotiate pozivima pre kraja podrške za NTLM protokol u novembru 2026. godine.

 

Šta je Negotiate?

Bezbjednosni paket Negotiate je dizajnirala kompanija Microsoft kao dio SSPI okvira da bi se omogućila bezbjedna autentifikacija između dva entiteta koji komuniciraju preko nesigurnog mrežnog kanala. Odgovoran je za odabir i pregovaranje o najbezbjednijem dostupnom protokolu za autentifikaciju na osnovu mogućnosti obje strane uključene u komunikaciju. Primarni cilj Negotiate paketa je da se osigura da odabrani metod autentifikacije pruža adekvatnu sigurnost uz održavanje kompatibilnosti sa starijim sistemima koji možda ne podržavaju naprednije protokole. Njegova funkcionalnost se može podijeliti na nekoliko ključnih aspekata:

  1. Odabir protokola, gdje Negotiate procjenjuje mogućnosti i preferencije obje strane uključene u komunikacijsku sesiju kako bi se utvrdilo koji protokol za autentifikaciju treba koristiti za bezbjednu razmjenu podataka. Prioritet daje Kerberos protokolu, jer se smatra sigurnijim od NTLM protokola zbog njegovih funkcija šifrovanja i drugih bezbjednosnih poboljšanja,
  2. Koristi rezervne mehanizme u slučajevima kada izabrani metod autentifikacije (Kerberos) ne može da se koristi ili aplikacija koja poziva nije obezbijedila dovoljno informacija, Negotiate će se vratiti na korišćenje NTLM protokola kao posljednjeg sredstva. Ovaj mehanizam pomaže u održavanju kompatibilnosti tokom prelaznog perioda sa NTLM a na Kerberos protokol,
  3. Negotiate omogućuje bezbjednu razmjenu podataka. Kada je protokol za autentifikaciju izabran i dogovoren između obje strane, može doći do bezbjedne razmjene podataka preko komunikacionog kanala. Negotiate osigurava da su svi razmijeni podaci šifrovani korišćenjem odgovarajućih algoritama za šifrovanje kako bi se zaštitili od potencijalnog prisluškivanja ili napada čovjeka u sredini (MITM).

 

Negotiate bezbjednosni paket ima nekoliko prednosti korištenja:

  1. Davanjem prioriteta Kerberos protokolu kao preferiranom protokolu za autentifikaciju, Negotiate nudi poboljšane bezbjednosne funkcije u poređenju sa NTLM protokolom. Ovo uključuje mogućnosti šifrovanja i druga bezbjednosna poboljšanja koja pomažu u zaštiti od različitih prijetnji i ranjivosti,
  2. Negotiate rezervni mehanizam omogućava kompatibilnost sa starijim sistemima ili aplikacijama koje možda ne podržavaju naprednije metode autentifikacije kao što je Kerberos protokol. Ovo osigurava nesmetan prelazni period, a istovremeno zadržava bezbjednosne prednosti modernih protokola za autentifikaciju,
  3. U većini slučajeva, zamjena NTLM poziva sa Negotiate može se postići jednostavnom promjenom u jednoj liniji u zahtevu AcquireCredentialsHandle za SSPI. Ovo pojednostavljuje proces implementacije i za programere i za sistem administratore,
  4. Kerberos autentifikacija je generalno brža od NTLM autentifikacije zbog svoje sposobnosti da kešuje tikete, što smanjuje potrebu za ponovljenim zahtevima za autentifikaciju preko mrežnog kanala. Negotiate podrška za Kerberos doprinosi poboljšanju performansi u scenarijima bezbjedne komunikacije.

 

Na kraju bezbjednosni paket Negotiate igra ključnu ulogu u omogućavanju bezbjedne i kompatibilne autentifikacije između entiteta koji komuniciraju na Windows operativnim sistemima. Dajući prioritet modernim protokolima za autentifikaciju kao što je Kerberos, uz održavanje kompatibilnosti sa starijim sistemima kroz rezervne mehanizme, Negotiate nudi poboljšane bezbjednosne funkcije, pojednostavljenu implementaciju i poboljšane performanse za programere i administratore sistema tokom prelaska sa NTLM protokola na sigurnije metode autentifikacije.

Šta je Kerberos?

Kerberos je siguran protokol za autentifikaciju koji je razvio Massachusetts Institute of Technology – MIT za pružanje jake autentifikacije za klijent-server aplikacije. Dizajniran je da obezbijedi povjerljivost i integritet lozinki, kao i zaštitu od napada ponovne reprodukcije. Za razliku od svog prethodnika NTLM protokola, koji je poznat po svojim slabim bezbjednosnim implementacijama, Kerberos se smatra robusnijim i sigurnijim rješenjem za mrežnu autentifikaciju.

Primarni cilj Kerberos protokola je da autentifikuje korisnike za mrežne resurse na bezbjedan način, istovremeno pružajući nekoliko prednosti u odnosu na tradicionalne metode kao što je NTLM. Jedna takva prednost je upotreba simetričnih i asimetričnih algoritama za šifrovanje, koji su suštinske komponente njegovog bezbjednosnog modela. Ovo omogućava Kerberos protokolu da obezbijedi povjerljivost i integritet podataka koji se razmjenjuju između klijenata i servera tokom autentifikacije. Sa Kerberos protokolom, korisnici mogu da se autentifikuju na više usluga bez potrebe da svaki put ponovo unose svoje akreditive, što ga čini suštinskom komponentom rješenja za jednokratnu prijavu (eng. Single Sign-On – SSO).

Kompanija Microsoft, prepoznajući bezbjednosne prednosti koje donosi korišćenje Kerberos protokola, postepeno ukida NTLM protokol u korist ovog bezbjednijeg protokola za autentifikaciju. Ovaj pomak ka Kerberos protokolu ne samo da poboljšava sigurnost mreže već i pruža bolje performanse u poređenju sa prethodnikom. Kao rezultat toga, za organizacije i pojedince je od ključnog značaja da shvate kako funkcioniše Kerberos protokol za autentifikaciju i da ga pravilno implementiraju kako bi iskoristili sve prednosti.

Ukratko, Kerberos je siguran protokol za autentifikaciju koji koristi algoritme za šifrovanje, sisteme za izdavanje karata i mogućnosti jedinstvenog prijavljivanja kako bi obezbijedio snažnu autentifikaciju za klijent-server aplikacije. Nudi nekoliko prednosti u odnosu na tradicionalne metode kao što je NTLM protokol, uključujući poboljšanu bezbjednost, performanse i jednostavnost korišćenja. Microsoft posvećenost ukidanju NTLM protokola u korist Kerberos protokola dodatno naglašava važnost razumijevanja ovog protokola i njegove ispravne implementacije u okviru mrežne infrastrukture.

 

ZAKLJUČAK

Kompanija Microsoft je najavila da će postepeno ukidati podršku za NTLM protokol u korist modernijih i sigurnijih metoda autentifikacije kao što je Kerberos. Dok će NTLM protokol nastaviti da radi u sljedećem izdanju Windows Servera operativnog sistema i godišnjeg izdanja Windows operativnog sistema, organizacije se podstiču da počnu da planiraju njegovu zamjenu, jer funkcije koje se oslanjaju na NTLM protokol više neće dobijati ažuriranja posle novembra 2026. godine.

Kompanija Microsoft savjetuje sistem administratorima da urade temeljne revizije svoje infrastrukture da bi se identifikovali svi slučajevi korišćenja NTLM protokola i planirali njegovu zamjenu Negotiate pozivima za pregovaranje. Ovaj proces postepenog zastarevanja omogućava organizacijama dovoljno vremena da prilagode svoje sisteme i obezbijede kompatibilnost sa budućim ažuriranjima Windows operativnog sistema, označavajući značajan korak ka poboljšanju bezbednosti Microsoft operativnih sistema.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.