Microsoft ha anunciado que el protocolo de autenticación NTLM (New Technology LAN Manager) será eliminado progresivamente en futuras versiones de Windows, comenzando con Windows 11. Esta decisión se toma para mejorar la seguridad en los sistemas operativos de Windows, ya que NTLM es susceptible a varios tipos de ataques, como los ataques de retransmisión y el "pass-the-hash"
Historia y Vulnerabilidades de NTLM
NTLM es un conjunto de protocolos de seguridad utilizados desde las primeras versiones de Windows para autenticar usuarios remotos y proporcionar seguridad de sesión. A pesar de haber sido reemplazado como protocolo predeterminado por Kerberos en Windows 2000, NTLM todavía se utiliza como un mecanismo de respaldo cuando Kerberos no está disponible o falla
NTLM presenta varias vulnerabilidades críticas que lo hacen inseguro en el entorno actual. Los atacantes pueden explotar NTLM en ataques de retransmisión, donde forzan a dispositivos de red vulnerables a autenticar contra servidores controlados por los atacantes, y en ataques "pass-the-hash", en los cuales los atacantes utilizan hashes de contraseñas para acceder a sistemas sin necesidad de conocer la contraseña en texto claro.
Transición a Kerberos
Para abordar estas vulnerabilidades, Microsoft está implementando dos nuevas características en Kerberos:
IAKerb (Initial and Pass Through Authentication Using Kerberos): Esta extensión pública permite que un cliente sin línea de vista a un Controlador de Dominio autentique a través de un servidor que sí tiene línea de vista. Este método usa las garantías criptográficas de Kerberos para proteger los mensajes en tránsito y es especialmente útil en entornos segmentados por firewalls o escenarios de acceso remoto.
Centro de Distribución de Claves Local (Local KDC): Utiliza el Administrador de Cuentas de Seguridad (SAM) de la máquina local para ofrecer autenticación remota de cuentas de usuarios locales mediante Kerberos, sin necesidad de servicios adicionales como DNS, Netlogon o DCLocator. Esto mejora la seguridad de la autenticación local mediante el uso de cifrado AES.
Mejoras en el Control y Monitoreo de NTLM
Microsoft también está trabajando en mejorar los controles de gestión de NTLM, proporcionando a los administradores mayor flexibilidad para monitorear y restringir el uso de NTLM en sus entornos. Estas mejoras incluirán políticas más granulares y mejores registros de auditoría para identificar aplicaciones y servicios que aún dependen de NTLM.
Futuro de NTLM en Windows
El objetivo final de Microsoft es deshabilitar NTLM por defecto en Windows 11, aunque se mantendrá como una opción de respaldo por razones de compatibilidad durante un período de transición. Microsoft monitoreará la reducción en el uso de NTLM y proporcionará herramientas para ayudar a los administradores a migrar a Kerberos.
En resumen, la depreciación de NTLM y la transición a Kerberos forman parte del esfuerzo continuo de Microsoft para fortalecer la seguridad de sus sistemas operativos y proteger mejor a los usuarios contra amenazas cada vez más sofisticadas.
