Microsoft möchte NTLM-Unterstützung in Windows 11 aufkündigen
Seit Langem ist NTLM aus Sicherheitsgründen verpönt, wird aber noch häufig genutzt. Microsoft möchte es endlich loswerden – weiß aber noch nicht, wann.
(Bild: heise online)
Microsoft möchte alte Zöpfe abschneiden und sich vom NT LAN Manager endgültig verabschieden. Der Softwarekonzern nutzt NTLM bereits seit Jahrzehnten nicht mehr als Standardprotokoll zur Authentifizierung, muss aber Abwärtskompatibilität gewährleisten. Nun starten die Redmonder einen neuen Anlauf zur Abschaffung der ungeliebten Altlast und bringen Kerberos mit neuen Features als gleichwertigen Nachfolger in Stellung.
Das Ziel ist klar: NTLM soll vollständig aus Windows verschwinden, um die Sicherheit für alle Nutzer des Betriebssystems zu verbessern. Das ist die Kernaussage der Microsoft-Entwickler in ihrem Blog. Der Weg dahin ist aber noch lang: So führen einige prinzipbedingte Vorteile des veralteten Protokolls dazu, dass es noch heute in vielen Anwendungen hart verdrahtet ist, was die Abschaffung erschwert.
Verbesserungen für Kerberos
Um Softwareentwickler und Admins zum endgültigen Abschied von NTLM zu bewegen, hat Microsoft Kerberos aufgebohrt und zwei der wichtigsten Nachteile gegenüber dem NT LAN Manager beseitigt.
So soll IAKerb eine Authentifizierung an einem Windows Server auch dann ermöglichen, wenn nur der Server, nicht jedoch der Client über eine direkte Netzwerkverbindung zu einem Domain Controller verfügt. Die Erweiterung bedient sich der kryptographischen Mechanismen des Kerberos-Protokolls, um die Sicherheit der Nachrichten bei der Weiterleitung durch den Server zu gewährleisten. Zum Einsatz kommen dürfte IAKerb vor allem bei Fernzugriffen oder Anmeldungen aus unterschiedlichen Firewall-Segmenten.
Das ebenfalls neu implementierte lokale Key Distribution Center (KDC) für Kerberos setzt auf IAKerb auf, um Kerberos-Nachrichten zwischen Rechnern hin- und herzuschicken, ohne zusätzliche Dienste wie DNS oder netlogon ausrollen zu müssen.
NTLM-Nutzung ermitteln und abstellen
Microsoft arbeitet zudem aktiv daran, die hartkodierte NTLM-Verwendung in Windows-Komponenten durch Kerberos zu ersetzen – ein Schritt, der auch Drittentwicklern von Windows-Anwendungen bevorsteht. Durch zusätzliche Details in den Systemprotokollen sollen Administratoren künftig zudem ermitteln können, welche Dienste und Anwendungen noch NTLM zur Anmeldung verwenden. Mithilfe feiner aufgelöster Richtlinien können sie die Nutzung dann unterbinden oder anwendungsspezifische Regeln erstellen. Die Redmonder rufen ihre Kunden auf, eine Liste aller Programme zu erstellen, die auf NTLM angewiesen sind, um den Umstieg zu erleichtern.
Durch all diese Maßnahmen hofft Microsoft, die Nutzung von NTLM in absehbarer Zeit so weit einzudämmen, dass eine Abschaltung noch während des Lebenszyklus von Windows 11 in Betracht kommt. Die Redmonder behalten die Nutzungsstatistiken des Authentifizierungsprotokolls genau im Blick und möchten es im Auslieferungszustand deaktivieren, sobald ihnen dieser Schritt ungefährlich erscheint. Nutzer, die zu diesem Zeitpunkt noch immer auf NTLM angewiesen sind, sollen aber weiter eine Möglichkeit zur manuellen Reaktivierung haben.
Auch an anderer Stelle hatte der Softwarekonzern kürzlich angekündigt, sich von einer sicherheitsrelevanten Altlast zu verabschieden: VBScript wurde kürzlich für veraltet erklärt und wird aus Windows 11 verschwinden.
(cku)
