Windows 11 ukončí podporu NTLM

Společnost Microsoft potvrdila své plány ukončit podporu NT LAN Manager (NTLM) ve Windows 11 ve druhé polovině roku, když oznámila řadu nových bezpečnostních opatření k posílení široce používaného desktopového operačního systému.

„Ukončení podpory NTLM bylo velkým požadavkem naší bezpečnostní komunity, protože to posílí autentizaci uživatelů, a ukončení podpory je plánováno na druhou polovinu roku 2024,“ uvedl technologický gigant.

Výrobce Windows původně oznámil své rozhodnutí upustit od NTLM ve prospěch Kerberos pro autentizaci v říjnu 2023.

Kromě nedostatku podpory kryptografických metod, jako je AES nebo SHA-256, byl protokol NTLM také náchylný k relay útokům, technice, kterou široce využíval aktér APT28 napojený na Rusko prostřednictvím zero-day zranitelností v Microsoft Outlook.

Další změny, které přicházejí do Windows 11, zahrnují povolení ochrany Local Security Authority (LSA) ve výchozím nastavení pro nová spotřebitelská zařízení a použití bezpečnosti založené na virtualizaci (VBS) k zabezpečení technologie Windows Hello.

Smart App Control, který chrání uživatele před spuštěním nedůvěryhodných nebo nepodepsaných aplikací, byl také vylepšen modelem umělé inteligence (AI) k určení bezpečnosti aplikací a blokování těch, které jsou neznámé nebo obsahují malware.

Doplňkem Smart App Control je nové end-to-end řešení nazvané Trusted Signing, které umožňuje vývojářům podepisovat své aplikace a zjednodušuje celý proces podepisování certifikátů.

Některá další významná bezpečnostní vylepšení jsou následující:

Izolace aplikací Win32, která je navržena k omezení škod v případě kompromitace aplikace vytvořením bezpečnostní hranice mezi aplikací a operačním systémem
Omezení zneužívání administrátorských oprávnění vyžádáním výslovného schválení uživatelem
VBS enklávy pro vývojáře třetích stran k vytvoření důvěryhodných prostředí pro provádění

 

Microsoft dále uvedl, že z Windows Protected Print Mode (WPP), který představil v prosinci 2023 jako způsob, jak čelit rizikům spojeným s privilegovaným procesem Spooler, se v budoucnu stane výchozím tiskovým režimem.

Tímto způsobem je cílem spustit Print Spooler jako omezenou službu a drasticky omezit jeho atraktivitu jako cesty pro hrozby k získání zvýšených oprávnění na kompromitovaném systému Windows.

Redmond také uvedl, že již nebude důvěřovat certifikátům serverové autentizace TLS (transport layer security) s RSA klíči menšími než 2048 bitů kvůli „pokrokům ve výpočetní síle a kryptanalýze“.

Seznam bezpečnostních funkcí uzavírá Zero Trust Domain Name System (ZTDNS), který má pomoci komerčním zákazníkům uzamknout Windows v jejich sítích tím, že nativně omezí zařízení Windows na připojení pouze ke schváleným síťovým destinacím podle názvu domény.

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS