Microsoft gaat NTLM-authenticatie in toekomst standaard uitschakelen
Microsoft gaat NTLM-authenticatie binnen Windows in de toekomst standaard uitschakelen, zo laat het techbedrijf opnieuw in een blogpost weten, waarin organisaties worden opgeroepen op modernere authenticatieprotocollen over te stappen. De NT LAN Manager (NTLM), en diens opvolger NTLMv2, is een challenge-en-response protocol voor het authenticeren van gebruikers, waarbij gebruik wordt gemaakt van wachtwoordhashes.
NTLM is een legacy protocol dat onder andere kwetsbaar is voor relay-aanvallen. Daarbij weet een aanvaller de hash van een doelwit te onderscheppen en kan die vervolgens gebruiken om zich als het doelwit bij een dienst te authenticeren. In het verleden zijn er tal van relay-aanvallen geweest waarbij aanvallers NTLM-hashes probeerden te stelen. Eerder dit jaar waarschuwde Microsoft nog dat Exchange-servers het doelwit van relay-aanvallen waren geworden.
Microsoft adviseert Kerberos als alternatief voor NTLM. Dit is sinds 2000 het standaard Windows-authenticatieprotocol, liet Microsofts Matthew Palko eerder weten. Desondanks wordt NTLM nog veel gebruikt. Organisaties kunnen NTLM wel uitschakelen, maar dit kan voor problemen zorgen met applicaties waarbij het NTLM-gebruik hardcoded is. Het uitschakelen van NTLM kan ook voor problemen zorgen bij scenario's die niet mer Kerberos werken.
"Ons doel is het elimineren van de noodzaak om NTLM te gebruiken en de authenticatiebeveiliging voor alle Windowsgebruikers te versterken", aldus Palko eind vorig jaar. Aangezien NTLM nog steeds in gebruik is heeft Microsoft inmiddels voor Exchange Server 2019 en Windows Server 2025 de optie 'Extended Protection for Authentication' (EPA) standaard ingeschakeld. Deze maatregel moet tegen relay-aanvallen beschermen. Microsoft wil EPA in de toekomst voor meer diensten standaard gaan inschakelen.
Het techbedrijf herhaalt echter het uiteindelijke doel, namelijk dat NTLM standaard zal zijn uitgeschakeld in een toekomstige versie van Windows. Organisaties worden dan ook opgeroepen om op modernere authenticatieprotocollen zoals Kerberos over te stappen. In de tussentijd is Microsoft naar eigen zeggen van plan om meer 'secure-by-default NTLM hardening' maatregelen te nemen.
Het lijkt mij verstandig als Microsoft de laatste windows 10 update gebruikt om alles potdicht te gooien.
Firewall dicht, remote login uit, etc. etc. Dit maakt de kans op wormen een stuk kleiner.
Maar let altijd nog op de antieke machines die bestuurd worden en nog een Windows versie hebben of "authenticatie iets" die het wel nodig heeft. Vaak genoeg tegen aangelopen ook met upgraden naar nieuw domain level en NT4 toch nog ergens stiekem stond te draaien, terwijl werd beweerd dat het niet zo was.
Richt dan een apart domein in zonder connectiviteit naar buiten volledig gescheiden. Soms is er omheen werken ook mogelijk.
Maar ik vind het wel handig als ik in windows inlog ik ook meteen in mijn netwerk shares kan komen zonder in te loggen bij samba. Mijn vraag aan jullie gaat dat hierdoor veranderen of blijft dit werken en heeft het niets te maken met NTLM?
Sorry als het een hele domme vraag is.
Bijna iedereen..... probeer eens een printopdracht op een window machine werkt hardcoded met NTLM
Dus Microsoft moet aan de bak, om alle NTLM authenticatie te elimineren, gaat het voorlopig niet worden helaas
Het lijkt mij verstandig als Microsoft de laatste windows 10 update gebruikt om alles potdicht te gooien.
Firewall dicht, remote login uit, etc. etc. Dit maakt de kans op wormen een stuk kleiner.
Niet echt, of eigenlijk echt niet.
Het grootste probleem is de gebruiker, mensen moeten niet zomaar op linkjes klikken. Uitgaand verkeer is eigenlijk altijd mogelijk en een sessie opgezet is verkeer beide kanten op mogelijk.
Ook thuis gebruikers met een enkele computer communiceren met de buitenwereld en dus is verspreiding van malware gewoon mogelijk.Dit is trouwens niet ene probleem wat enkel bij Windows voorkomt mensen met een alternatief OS wanen zich veiliger.
Nou, ik gok nog zo'n 70% van de zakelijke wereld.
Nou, ik gok nog zo'n 70% van de zakelijke wereld.
Vrees dat het nog best veel gebruikt wordt inderdaad.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Security Analist SOC
AIVD
Als security analist werk je mee om de relevante logging- en dreigingsinformatie binnen het SOC beschikbaar te maken. Ben je net afgestudeerd en wil je je verder ont-wikkelen op het gebied van cyber security? Wil jij aan de hand van cyber threat intelligence op jacht naar de meest ge-avanceerde aanvallers? Dan is ons Security Operations Center de plek voor jou!
Senior Security Analist SOC
AIVD
Als senior security analist SOC analyseer je de security monitoring data die we op ons platform verzamelen en ontwikkel je detectie use-cases die wijzen op verdacht gedrag op onze netwerken en systemen. Heb je veel netwerk, sysadmin of software development-ervaring, met een wens je richting security te ontwikkelen? Dan is ons Security Operations Center de plek voor jou!
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.