Microsoft mejora la autenticación de Windows y desactiva NTLM

Microsoft mejora la autenticación de Windows y desactiva NTLM

Microsoft está presionando para lograr una autenticación de Windows más segura con nuevas características para Kerberos que eventualmente eliminarían el uso del protocolo NTLM.

Se supone que NTLM (New Technology LAN Manager), un protocolo de autenticación de desafío-respuesta, proporciona autenticación, integridad y confidencialidad, pero NTLM es propenso a ataques de retransmisión y las contraseñas pueden forzarse fácilmente en el uso de hardware moderno, lo que debilita el protocolo.

Kerberos, que se basa en criptografía de clave simétrica y ofrece mejores garantías de seguridad en comparación con NTLM, ha sido el protocolo de autenticación predeterminado de Windows desde Windows 2000.

Sin embargo, el sistema operativo de Microsoft sigue utilizando tanto NTLM como Kerberos, principalmente porque este último no se puede utilizar en determinados escenarios, lo que lleva al sistema operativo a recurrir al primero.

Ahora, Microsoft dice que está trabajando en dos nuevas características para Kerberos para cubrir estos escenarios y eliminar la necesidad de utilizar NTLM, mejorando así la «barra de seguridad de autenticación para todos los usuarios de Windows».

La primera característica, Autenticación inicial y de paso mediante Kerberos (IAKerb), es una extensión pública que «permite a un cliente sin línea de visión a un controlador de dominio autenticarse a través de un servidor que tiene línea de visión», dijo Microsoft. explicar.

Con IAKerb, los mensajes Kerberos se envían mediante proxy al servidor en nombre del cliente, y la misma seguridad criptográfica garantiza que las ofertas de protocolo se utilicen para proteger los mensajes en tránsito, para evitar ataques de repetición o retransmisión.

Anuncio publicitario. Desplázate para seguir leyendo.

«Este tipo de proxy es útil en entornos segmentados por firewall o escenarios de acceso remoto», explica Microsoft.

La segunda característica, un centro de distribución de claves local (KDC) para Kerberos, aprovecha el administrador de cuentas de seguridad de la máquina local para proporcionar autenticación remota de cuentas de usuarios locales a través de Kerberos.

“Esto aprovecha IAKerb para permitir que Windows pase mensajes Kerberos entre máquinas locales remotas sin tener que agregar soporte para otros servicios empresariales como DNS, Netlogon o DCLocator. IAKerb tampoco requiere que abramos nuevos puertos en la máquina remota para aceptar mensajes Kerberos”, señala Microsoft.

«La autenticación a través del KDC local utiliza AES desde el principio, lo que mejora la seguridad de la autenticación local», explica también el gigante tecnológico.

Además, Microsoft está actualizando estos componentes de Windows con NTLM integrado, para que utilicen el protocolo Negotiate, es decir Kerberos e IAKerb y el KDC local. En la mayoría de los casos, estos cambios no requerirán configuración y NTLM seguirá siendo una opción alternativa.

Microsoft también dice que está ampliando los controles de gestión para que los administradores puedan rastrear y bloquear mejor el uso de NTLM en sus entornos, como información de servicio en registros de visores de eventos existentes para consultas NTLM y políticas granulares a nivel de servicio.

«Reducir el uso de NTLM resultará en última instancia en su desactivación en Windows 11. Estamos adoptando un enfoque basado en datos y monitoreando las reducciones en el uso de NTLM para determinar cuándo será seguro desactivarlo», señala Microsoft.

El gigante tecnológico anima a los clientes a utilizar controles nuevos y mejorados para prepararse para la desactivación de NTLM. Los mismos controles, señala la compañía, permitirán a los clientes volver a habilitar NTLM por razones de compatibilidad, si es necesario.

Microsoft también recomienda catalogar el uso de NTLM, para saber qué aplicaciones y servicios pueden evitar que se desactive el protocolo, y auditar el código para el uso de NTLM codificado.

Relacionado: Microsoft impone el requisito de firma SMB predeterminado en Windows 11 para aumentar la seguridad

Relacionado: Microsoft ofrece hasta 15.000 dólares en el nuevo programa AI Bug Bounty

Relacionado: Microsoft agrega nuevas funciones de seguridad a Windows 11

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *