Ga naar inhoud

Aanbevolen berichten

Geplaatst:

Microsoft gaat NTLM-authenticatie binnen Windows in de toekomst standaard uitschakelen, zo laat het techbedrijf opnieuw in een blogpost weten, waarin organisaties worden opgeroepen op modernere authenticatieprotocollen over te stappen. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes.

NTLM is een legacy protocol dat onder andere kwetsbaar is voor relay-aanvallen. Daarbij weet een aanvaller de hash van een doelwit te onderscheppen en kan die vervolgens gebruiken om zich als het doelwit bij een dienst te authenticeren. In het verleden zijn er tal van relay-aanvallen geweest waarbij aanvallers NTLM-hashes probeerden te stelen. Eerder dit jaar waarschuwde Microsoft nog dat Exchange-servers het doelwit van relay-aanvallen waren geworden.

Microsoft adviseert Kerberos als alternatief voor NTLM. Dit is sinds 2000 het standaard Windows-authenticatieprotocol, liet Microsofts Matthew Palko eerder weten. Desondanks wordt NTLM nog veel gebruikt. Organisaties kunnen NTLM wel uitschakelen, maar dit kan voor problemen zorgen met applicaties waarbij het NTLM-gebruik hardcoded is. Het uitschakelen van NTLM kan ook voor problemen zorgen bij scenario's die niet mer Kerberos werken.

"Ons doel is het elimineren van de noodzaak om NTLM te gebruiken en de authenticatiebeveiliging voor alle Windowsgebruikers te versterken", aldus Palko eind vorig jaar. Aangezien NTLM nog steeds in gebruik is heeft Microsoft inmiddels voor Exchange Server 2019 en Windows Server 2025 de optie 'Extended Protection for Authentication' (EPA) standaard ingeschakeld. Deze maatregel moet tegen relay-aanvallen beschermen. Microsoft wil EPA in de toekomst voor meer diensten standaard gaan inschakelen.

Het techbedrijf herhaalt echter het uiteindelijke doel, namelijk dat NTLM standaard zal zijn uitgeschakeld in een toekomstige versie van Windows. Organisaties worden dan ook opgeroepen om op modernere authenticatieprotocollen zoals Kerberos over te stappen. In de tussentijd is Microsoft naar eigen zeggen van plan om meer 'secure-by-default NTLM hardening' maatregelen te nemen.

 

bron: https://www.security.nl

×
×
  • Nieuwe aanmaken...

Belangrijke informatie

We hebben cookies geplaatst op je toestel om deze website voor jou beter te kunnen maken. Je kunt de cookie instellingen aanpassen, anders gaan we er van uit dat het goed is om verder te gaan.