Эра 30-летнего протокола NTLM в Windows 11 подходит к концу

Корпорация Microsoft официально обозначила курс на поэтапный вывод из активного использования устаревшего протокола аутентификации NTLM (New Technology LAN Manager). В грядущих сборках Windows 11 сетевая проверка подлинности через этот протокол перестанет быть опцией по умолчанию. Компания объясняет этот шаг необходимостью закрыть фундаментальные бреши в безопасности, которые десятилетиями эксплуатировались для организации кибератак.

Основное влияние нововведение окажет на корпоративный сектор, где NTLM до сих пор часто применяется во внутренних сетях, несмотря на известные риски.

Исторический контекст: от Windows NT 3.1 до современности

Технология NTLM впервые появилась в 1993 году в составе операционной системы Windows NT 3.1, придя на смену ещё более архаичному LAN Manager (LM). Его основная задача — проверка подлинности пользователей и компьютеров в сети — долгое время выполнялась, однако архитектурные ограничения сделали протокол уязвимым для современных методов взлома.

Преемник и новый стандарт безопасности

Роль основной и рекомендуемой замены для NTLM уже много лет выполняет протокол Kerberos. Он обеспечивает значительно более высокий уровень защиты благодаря системе взаимной аутентификации, использованию сеансовых ключей и строгой временной привязке тикетов. Переход на Kerberos позволит организациям соответствовать актуальным стандартам кибербезопасности.

Что именно изменится в Windows?

Важно подчеркнуть, что NTLM не исчезнет из системы полностью в одночасье. Стратегия Microsoft заключается в следующем:

1. Изменение конфигурации по умолчанию: Свежие установки Windows 11 будут поставляться с деактивированной по умолчанию сетевой аутентификацией через NTLM.

2. Приоритет современных протоколов: Система будет автоматически пытаться использовать Kerberos или другие безопасные методы.

3. Поддержка обратной совместимости: Для критически важных старых систем и приложений, не поддерживающих новые стандарты, корпорация готовит специальные решения, например, локальный контроллер домена Kerberos (KDC).

Таким образом, переход будет управляемым, но потребует от ИТ-администраторов аудита инфраструктуры.

Последствия для цифровой экосистемы и разработчиков

Решение Microsoft отражает общемировой тренд на отказ от криптографически слабых и устаревших технологий. Для создателей программного обеспечения и цифровых сервисов это означает:

• Необходимость адаптации: Приложения и службы, рассчитанные на интеграцию с Windows, должны обеспечивать полную поддержку Kerberos и других современных протоколов.

• Повышение общей защищённости: Отказ от NTLM сократит поверхность для атак, направленных на кражу учетных данных, что критически важно для защиты платного контента, лицензий и персональных данных пользователей.

• Стимул для модернизации: Событие ускорит обновление корпоративной IT-инфраструктуры, создавая в перспективе более устойчивую среду для распространения и использования цифровых товаров.

Фактически, компания даёт ясный сигнал рынку: эпоха компромиссов в безопасности ради совместимости завершается. Будущее — за протоколами, которые изначально разрабатывались с учетом современных киберугроз.