Microsoft is van plan om op termijn te stoppen met de ondersteuning voor het authenticatieprotocol NTLM, laat het bedrijf weten in een blogpost. Dit protocol stamt uit 2000 en wordt al lange tijd niet meer als erg veilig gezien. Microsoft gebruikt hem dan ook al enige tijd niet meer als standaardauthenticatieprotocol, maar ziet in het Kerberos-protocol een meer dan waardige vervanger voor NTLM.
Toch wordt NTLM bij sommige scenario's in het besturingssysteem wel nog automatisch ingezet, zoals bij het gebruik van lokale accounts. Het techbedrijf wil er nu voor zorgen dat het bij dergelijke scenario's ook niet langer nodig is om dit protocol te gebruiken, met als einddoel om NTLM volledig uit Windows te verwijderen en daarmee de veiligheid van gebruikers te verhogen.
Toch is laatstgenoemde nog een uitdaging, omdat veel organisaties er bewust voor kiezen om NTLM te gebruiken in plaats van Kerberos. Eerstgenoemde heeft bijvoorbeeld als voordelen dat deze geen lokale netwerkverbinding met een domeincontroller vereist en dat gebruikers de doelserver niet te hoeven specificeren. NTLM zit dan ook ingebakken in sommige applicaties en diensten. Bij het uitschakelen van NTLM kunnen er bij dergelijke applicaties problemen optreden.
Microsoft zegt daarom dat het aan verschillende functies werkt om Kerberos aantrekkelijker te maken voor dergelijke organisaties. Ten eerste is er authenticatie-ondersteuning toegevoegd voor lokale accounts, en de tweede functie (IAKerb) maakt authenticatie mogelijk met server die een directe netwerkverbinding heeft met een domeincontroller, terwijl de client zelf geen line-of-sight naar de dc hoeft te hebben.
Bron: Microsoft
