Microsoft の Kerberos と NTML:Windows 11 での置き換えを本格化

Microsoft plans to kill off NTLM authentication in Windows 11

2023/10/13 BleepingComputer — 今週の初めに Microsoft が発表したのは、Windows 11 における NTLM 認証プロトコルを、将来的に廃止するという方針である。NTLM (New Technology LAN Manager) は、リモート・ユーザーを認証し、セッション・セキュリティを提供する、プロトコル群である。現在では、もうひとつの認証プロトコルである Kerberos が NTLM に取って代わり、Windows 2000 以降の全てのバージョンにおいて、ドメインに接続されたデバイスの、デフォルトの認証プロトコルになっている。

このように NTML は、従来の Windows バージョンにおけるデフォルト・プロトコルだったが、現在でも NTLM は使用されており、何らかの理由で Kerberos が失敗した場合に、その代わりとして NTLM が使用される。

その一方で脅威アクターたちは、NTLM リレー攻撃を広範囲で展開しており、攻撃者のコントロール下にあるサーバに対して、脆弱なネットワーク・デバイス (ドメインコントローラを含む) を認証させ、その特権を得ることで Windows ドメインを完全にコントロールする。

それにもかかわらず、未だに NTLM は Windows サーバ上で使用されている。したがって、攻撃者たちは、NTLM リレー攻撃の緩和策をバイパスするために、ShadowCoerce/DFSCoerce/PetitPotam/RemotePotato0 といった脆弱性を悪用できる。

NTLM は、パス・ザ・ハッシュ攻撃の標的にもされている。この攻撃では、システムの脆弱性の悪用や、悪意のソフトウェアの展開を行うサイバー犯罪者により、標的とするシステムからハッシュ化されたパスワードが、つまり NTLM ハッシュが取得されていく。

ハッシュの取得に成功した攻撃者は、そのハッシュを悪用して侵害済のユーザーを装い認証を済ませた後に、機密データへのアクセスや、ネットワーク上での横展開を可能する。

NTLM deprecation tweet


2010年以降において Microsoft は、アプリでの NTLM 使用の排除を推進し、Windowsの管理者に対しては NTLM を無効化を提言し、Active Directory Certificate Services (AD CS) を使用することで、 NTLM リレー攻撃をブロックするサーバ設定を推奨してきた。

その一方で、現在の Microsoft は、2つの新しい Kerberos 機能に取り組んでいる。その1つ目は IAKerb (Initial and Pass Through Authentication Using Kerberos) であり、2つ目は Local KDC (Local Key Distribution Center)である。

Microsoft の Matthew Palko は、「Kerberos の Local KDC は、ローカル・マシンのセキュリティ・アカウント・マネージャ上に構築され、ローカル・ユーザー・アカウントのリモート認証を、Kerberos を介して実現できる。つまり、IAKerb を活用すれば、Windows に DNS/netlogon/DCLocator などのエンタープライズ・ サービスを追加することなく、リモートの ローカル・マシン間で Kerberos メッセージを受け渡すことが可能になる。また、IAKerb では、Kerberos メッセージを受け入れるために、リモート・マシン上で新しいポートを開く必要もない」と説明している。

Microsoft は Windows 11 に対して、2種類の Kerberos 機能を導入すること用途を拡大し、Kerberos が NTLM を置き換えるための、2つの重大な課題に取り組むことを予定している。

1つ目の機能である IAKerb は、より広範なネットワーク・トポロジにおいて、クライアントによる Kerberos 認証を可能にするものである。2つ目の機能は、Kerberos のローカル鍵配布センター (KDC) であり、Kerberos のサポートをローカル・アカウントにまで拡張するものである。

また、Microsoft は、NTLM の管理コントロールを拡張し、管理者が環境内で NTLM を使用する際の監視や制限を、これまで以上に柔軟にすることを計画している。

Palko は、「NTLM の使用を減らしていき、最終的には Windows 11 から消え去るようにする。我々はデータドリブンなアプローチをとり、NTLM の使用量の減少を監視することで、いつ無効化するのが安全なのかを判断している。それまでの間は、私たちが提供する強化されたコントロールを使って、先手を打つことが可能である。デフォルトで無効化された NTLM は、互換性のために再度有効化することも可能だ」と述べている。

NTLM (New Technology LAN Manager) という名前から連想するのは Windows NT であり、Wikipedia で調べてみたら 1993年に登場と記されていました。Microsoft としても、早く廃止したいプロトコルなのでしょうが、使い続けているユーザーのことを考えると、いろいろと考えるべきことが出てくるのでしょう。よろしければ、NTLM で検索も、ご利用ください。