Microsoft、Windows 11でNTLM認証を廃止する計画

headless 曰く、　Microsoft が Windows 11 で NTLM (NT LAN Manager) 認証を廃止する計画を示している(Windows IT Pro Blog の記事、Bleeping Computer の記事)。

Windows では 2000 年から Kerberos がデフォルトの認証プロトコルとなっているが、NTLM へのフォールバックが必要になる場面もある。このような場面に対応するため、Windows 11 では Kerberos に重要な機能が追加されているという。追加された重要な機能はクライアントがより多様なネットワークトポロジーで Kerberos 認証を利用できるようにする IAKerb (Initial and pass through Authentication using Kerberos)と、ローカルアカウントで Kerberos をサポートする Local KDC (Key Distribution Center) の2つだ。また、NTLM にも管理者が容易に使用状況を把握したり、ブロックしたりできるようにするための機能追加が進められているとのこと。

このようにして Microsoft は段階的に NTLM の依存関係を減らしていき、最終的には Windows 11 で NTLM を無効化する計画だ。ただし、無効化時期については示されておらず、安全に無効化できるようになるのを待つことになる。NTLM の使用削減に向けて IT プロフェッショナルが準備すべきこととして、NTLM の使用状況と無効化の妨げになるアプリケーションを把握すること、アプリケーション開発者は NTLM の使用がハードコードされている部分がないか調べて修正を行うこと、日本時間 10 月 25 日 0 時開始のウェビナー「The Evolution of Windows Authentication」に登録すること、Kerberos の今後の機能改善に注目すること、が挙げられている。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | ネットワーク | Windows | IT

　関連ストーリー：
NTLM関連の新たな脆弱性が見つかる 2017年07月16日
デフォルト設定のWindowsおよびWindows Serverにおける権限昇格の可能性が指摘される 2016年01月20日
「Firebird」から「Firefox」へ、Mozilla Firefox 0.8リリース 2004年02月09日