Nhiều phiên bản Windows khác nhau đã sử dụng Kerberos làm giao thức xác thực chính trong hơn 20 năm qua. Tuy nhiên, trong một số trường hợp nhất định, hệ điều hành phải sử dụng một phương pháp khác, chẳng hạn như NTLM (NT LAN Manager). Hôm nay, Microsoft đã chính thức đưa thông báo cho biết công ty đang có kế hoạch mở rộng việc sử dụng Kerberos, với mục tiêu cuối cùng là loại bỏ hoàn toàn việc sử dụng NTLM trên Windows, đặc biệt là bắt đầu từ Windows 11 và các phiên bản sau.
Trong một bài đăng trên blog, Microsoft tuyên bố rằng NTLM sẽ tiếp tục được một số doanh nghiệp và tổ chức sử dụng để xác thực Windows, vì giao thức này “không yêu cầu kết nối mạng cục bộ với Domain Controller”. Đây cũng là “giao thức duy nhất được hỗ trợ khi sử dụng tài khoản cục bộ” và “hoạt động được ngay khi bạn không biết máy chủ mục tiêu là gì”.
Những lợi ích này đã dẫn đến việc một số ứng dụng và dịch vụ mã hóa cứng duy trì sử dụng NTLM, thay vì chuyển sang các giao thức xác thực khác hiện đại hơn như Kerberos. Kerberos cung cấp mức độ bảo mật tốt hơn và có khả năng mở rộng cao hơn NTLM. Đó là lý do tại sao Kerberos hiện là giao thức mặc định được ưa chuộng trong môi trường Windows.
Vấn đề là mặc dù các doanh nghiệp có thể tắt NTLM để xác thực nhưng, nhưng những ứng dụng và dịch vụ được kết nối cứng đó lại có thể gặp sự cố. Đây là lý do tại sao Microsoft đã bổ sung thêm nhiều tính năng xác thực mới cho Kerberos. Những thay đổi này đang được triển khai để về lâu dài, Kerberos sẽ trở thành giao thức xác thực Windows duy nhất.
Trước tiên Microsoft sẽ tắt NTLM theo mặc định, nhưng các doanh nghiệp sẽ có thể kích hoạt lại nó trong trường hợp họ gặp phải sự cố tương thích. Microsoft vẫn chưa công bố thời gian biểu cụ thể khi nào tất cả những thay đổi này sẽ diễn ra.
NTLM là một giao thức cũ xác thực của Microsoft và đã được thay thế bằng Kerberos trong Windows 2000. Tuy nhiên, NTLM hiện vẫn được sử dụng để lưu trữ mật khẩu Windows local hoặc trong tệp NTDS.dit trong Active Directory miền điều khiển (Bộ điều khiển miền Active Directory). NTLM hiện bị đánh giá là không an toàn và ẩn chứa nhiều lỗ hổng bảo mật nghiêm trọng.
Để lại một bình luận