Microsoft официально подтвердила планы по отказу от NT LAN Manager (NTLM) в Windows 11 во второй половине 2024 года, анонсировав ряд новых мер безопасности для усиления защиты операционной системы.
В заявлениикомпании подчеркивается, что отказ от NTLM давно был желаемым шагом со стороны сообщества безопасности, так как это укрепит аутентификацию пользователей.
О первоначальном решении заменить NTLM на
Представим, что компьютер (клиент) хочет получить доступ к определенному сервису (например, электронной почте) на другом компьютере (сервере). Чтобы убедиться, что пользователь имеет право на доступ, Kerberos использует специальное устройство, известное как Key Distribution Center (KDC). KDC хранит секретные ключи всех пользователей и сервисов и может выдавать “билеты” для доступа.
Когда пользователь хочет войти в систему, его компьютер отправляет запрос KDC с просьбой о билете. KDC проверяет учетные данные и, если все в порядке, выдает билет. Этот билет затем используется для подтверждения идентичности пользователя при обращении к сервису.
Одно из главных преимуществ Kerberos – его способность обеспечивать взаимную аутентификацию. Не только пользователь подтверждает свою идентичность, но и сервис может заверить пользователя в своей безопасности. Система помогает предотвратить атаки, в которых злоумышленник пытается притвориться сервисом.