Společnost Microsoft potvrdila své plány ukončit podporu NT LAN Manager (NTLM) ve Windows 11 ve druhé polovině roku, když oznámila řadu nových bezpečnostních opatření k posílení široce používaného desktopového operačního systému.
„Ukončení podpory NTLM bylo velkým požadavkem naší bezpečnostní komunity, protože to posílí autentizaci uživatelů, a ukončení podpory je plánováno na druhou polovinu roku 2024,“ uvedl technologický gigant.
Výrobce Windows původně oznámil své rozhodnutí upustit od NTLM ve prospěch Kerberos pro autentizaci v říjnu 2023.
Kromě nedostatku podpory kryptografických metod, jako je AES nebo SHA-256, byl protokol NTLM také náchylný k relay útokům, technice, kterou široce využíval aktér APT28 napojený na Rusko prostřednictvím zero-day zranitelností v Microsoft Outlook.
Další změny, které přicházejí do Windows 11, zahrnují povolení ochrany Local Security Authority (LSA) ve výchozím nastavení pro nová spotřebitelská zařízení a použití bezpečnosti založené na virtualizaci (VBS) k zabezpečení technologie Windows Hello.
Smart App Control, který chrání uživatele před spuštěním nedůvěryhodných nebo nepodepsaných aplikací, byl také vylepšen modelem umělé inteligence (AI) k určení bezpečnosti aplikací a blokování těch, které jsou neznámé nebo obsahují malware.
Doplňkem Smart App Control je nové end-to-end řešení nazvané Trusted Signing, které umožňuje vývojářům podepisovat své aplikace a zjednodušuje celý proces podepisování certifikátů.
Některá další významná bezpečnostní vylepšení jsou následující:
- Izolace aplikací Win32, která je navržena k omezení škod v případě kompromitace aplikace vytvořením bezpečnostní hranice mezi aplikací a operačním systémem
- Omezení zneužívání administrátorských oprávnění vyžádáním výslovného schválení uživatelem
- VBS enklávy pro vývojáře třetích stran k vytvoření důvěryhodných prostředí pro provádění
Microsoft dále uvedl, že z Windows Protected Print Mode (WPP), který představil v prosinci 2023 jako způsob, jak čelit rizikům spojeným s privilegovaným procesem Spooler, se v budoucnu stane výchozím tiskovým režimem.
Tímto způsobem je cílem spustit Print Spooler jako omezenou službu a drasticky omezit jeho atraktivitu jako cesty pro hrozby k získání zvýšených oprávnění na kompromitovaném systému Windows.
Redmond také uvedl, že již nebude důvěřovat certifikátům serverové autentizace TLS (transport layer security) s RSA klíči menšími než 2048 bitů kvůli „pokrokům ve výpočetní síle a kryptanalýze“.
Seznam bezpečnostních funkcí uzavírá Zero Trust Domain Name System (ZTDNS), který má pomoci komerčním zákazníkům uzamknout Windows v jejich sítích tím, že nativně omezí zařízení Windows na připojení pouze ke schváleným síťovým destinacím podle názvu domény.
Zdroj: thehackernews.com