Microsoft は Windows および Windows サーバにおける NTLM 認証を正式に非推奨とし、開発者は将来的な問題を回避するために Kerberos 認証もしくは Negotiation 認証に移行すべきであると述べている。
NTLM としてよく知られている New Technology LAN Manager は、1993年に Windows NT 3.1 の一部として、LAN Manager (LM) プロトコルの後継としてリリースされた認証プロトコルである。
マイクロソフト社によれば、NTLM プロトコルは現在でも広く使用されているが、6 月をもってアクティブな開発は終了し、より安全な代替プロトコルに移行する予定であるという。
この動きは驚くべきことではなく、マイクロソフト社は2023年10月にこの老朽化した認証プロトコルを廃止する意向を初めて発表し、管理者にKerberosや Negotiateのような最新の認証システムに移行するよう促していたからだ。
NTLM は「NTLM Relay」攻撃として知られるサイバー攻撃で広範囲に悪用されており、Windows ドメインコントローラを悪意のあるサーバに対して認証させることで乗っ取る。
マイクロソフト社はSMB セキュリティ署名のような攻撃を防御するための新しい手段を導入しているが、NTLM 認証に対する攻撃は後を絶たない。
例えば、パスワードハッシュは依然として「pass-the-hash」攻撃で盗用されたり、フィッシング攻撃で入手されたり、盗まれた Active Directory データベースやサーバのメモリから直接抽出されたりしている。攻撃者はハッシュをクラックして、ユーザーの平文パスワードを手に入れることができる。
NTLM は Kerberos のような最新のプロトコルに比べて暗号化が弱いだけでなく、ネットワークのラウンドトリップが多く、シングルサインオン(SSO)技術をサポートしていない。
これらのことから、NTLM は 2024 年のセキュリティと認証の標準からすると、著しく時代遅れであると考えられており、Microsoft は NTLM を廃止しようとしている。
NTLM 廃止プロセス
NTLM は次期リリースの Windows Server や次期年次リリースの Windows では動作する。しかし、ユーザやアプリケーション開発者は、まず Kerberos による認証を試み、必要な場合にのみ NTLM にフォールバックする「Negotiate」に移行すべきである。
マイクロソフトでは、システム管理者が監査ツールを利用して、環境内でどのように NTLM が使用されているかを把握し、移行計画を策定する際に考慮すべきすべてのインスタンスを特定することを推奨している。
ほとんどのアプリケーションでは、セキュリティサポートプロバイダインタフェース(SSPI)に対する「AcquireCredentialsHandle」リクエストを一行変更するだけで、NTLM を Negotiate に置き換えることができる。しかし、より大規模な変更が必要となる例外もある。
Negotiate には、移行期間中の互換性の問題を緩和するために、NTLM へのフォールバック機能が組み込まれている。
認証の問題で行き詰っている管理者は、Microsoft のKerberos トラブルシューティングガイドを参照することができる。
Comments