Microsoft đã công bố một cách tiếp cận ba giai đoạn để loại bỏ New Technology LAN Manager (NTLM) như một phần nỗ lực của hãng nhằm chuyển đổi các môi trường Windows sang các tùy chọn dựa trên Kerberos mạnh mẽ hơn.
Sự phát triển này diễn ra hơn hai năm sau khi gã khổng lồ công nghệ tiết lộ kế hoạch ngừng sử dụng công nghệ cũ này, với lý do NTLM dễ bị tấn công khai thác điểm yếu có thể tạo điều kiện cho các cuộc tấn công relay và cho phép kẻ xấu giành quyền truy cập trái phép vào tài nguyên mạng. NTLM đã chính thức bị ngừng phát triển vào tháng 6 năm 2024 và không còn nhận được các bản cập nhật nữa.
"NTLM bao gồm các giao thức bảo mật ban đầu được thiết kế để cung cấp xác thực, tính toàn vẹn và bảo mật cho người dùng," Mariam Gewida, Quản lý chương trình kỹ thuật cấp II tại Microsoft, giải thích. "Tuy nhiên, khi các mối đe dọa bảo mật đã phát triển, các tiêu chuẩn của chúng tôi cũng vậy để đáp ứng kỳ vọng bảo mật hiện đại. Ngày nay, NTLM dễ bị tấn công bởi nhiều hình thức khác nhau, bao gồm các cuộc tấn công replay và man-in-the-middle, do sử dụng mật mã yếu."
Mặc dù đã bị ngừng phát triển, Microsoft cho biết họ vẫn tiếp tục nhận thấy việc sử dụng NTLM phổ biến trong các môi trường doanh nghiệp, nơi các giao thức hiện đại như Kerberos không thể được triển khai do các phụ thuộc cũ, hạn chế mạng hoặc logic ứng dụng đã ăn sâu. Điều này, đến lượt nó, khiến các tổ chức phải đối mặt với các rủi ro bảo mật, chẳng hạn như các cuộc tấn công replay, relay và pass-the-hash.
Chiến lược ba giai đoạn để vô hiệu hóa NTLM
Để giảm thiểu vấn đề này một cách an toàn, công ty đã áp dụng chiến lược ba giai đoạn nhằm vô hiệu hóa NTLM theo mặc định -
- Giai đoạn 1: Xây dựng khả năng hiển thị và kiểm soát bằng cách sử dụng kiểm tra NTLM nâng cao để hiểu rõ hơn về nơi và lý do NTLM vẫn đang được sử dụng (Hiện đã có sẵn)
- Giai đoạn 2: Giải quyết các trở ngại phổ biến ngăn cản việc di chuyển sang NTLM thông qua các tính năng như IAKerb và Key Distribution Center (KDC) cục bộ (bản phát hành trước), cũng như cập nhật các thành phần cốt lõi của Windows để ưu tiên xác thực Kerberos (Dự kiến vào nửa cuối năm 2026)
- Giai đoạn 3: Vô hiệu hóa NTLM trong phiên bản Windows Server tiếp theo và client Windows liên quan, đồng thời yêu cầu kích hoạt lại rõ ràng thông qua các kiểm soát chính sách mới
Microsoft đã định vị quá trình chuyển đổi này là một bước tiến lớn hướng tới một tương lai không mật khẩu và chống phishing hiệu quả hơn. Điều này cũng yêu cầu các tổ chức đang phụ thuộc vào NTLM phải tiến hành kiểm toán, lập bản đồ các phụ thuộc, di chuyển sang Kerberos, kiểm tra cấu hình tắt NTLM trong môi trường phi sản xuất và bật các bản nâng cấp Kerberos.
"Việc vô hiệu hóa NTLM theo mặc định không có nghĩa là loại bỏ hoàn toàn NTLM khỏi Windows ngay lập tức," Gewida cho biết. "Thay vào đó, nó có nghĩa là Windows sẽ được cung cấp ở trạng thái bảo mật theo mặc định, trong đó xác thực NTLM mạng bị chặn và không còn được sử dụng tự động."
"Hệ điều hành sẽ ưu tiên các giải pháp thay thế dựa trên Kerberos hiện đại, an toàn hơn. Đồng thời, các kịch bản cũ phổ biến sẽ được giải quyết thông qua các khả năng sắp tới như Local KDC và IAKerb (bản phát hành trước)."
