Windows 11, nuovo sistema di autenticazione Kerberos per superare NTLM

NTLM (New Technology LAN Manager) è un protocollo di autenticazione sviluppato da Microsoft per i sistemi operativi Windows. La sua prima introduzione risale addirittura ai tempi di Windows NT, nonostante NTLM sia ampiamente utilizzato ancora oggi. Al di là delle sigle, NTLM è utilizzato per l’autenticazione degli utenti e quindi per garantire l’accesso sicuro alle risorse di rete come cartelle o stampanti condivise. Utilizzabile anche per l’autenticazione su domini Windows e per i servizi di Directory, Microsoft ha cercato di metterne al bando l’impiego per via delle debolezze di sicurezza intrinseche di cui soffre il protocollo.

In un altro articolo abbiamo visto cos’è NTLM, come funziona e quali tipi di attacchi informatici possono essere utilizzati per risalire alle password personali degli utenti e assumere l’identità digitale altrui.

Dicevamo che Microsoft scoraggia l’utilizzo di NTLM preferendo l’utilizzo di protocolli di autenticazione più moderni e sicuri, come Kerberos. Il fatto è che se per gli amministratori IT l’adozione di tale protocollo dovrebbe ormai essere quasi scontata, Microsoft rileva che è opportuno far evolvere anche i meccanismi di autenticazione utilizzati da professionisti e utenti privati.

Evolvere il sistema di autenticazione su Windows 11

Kerberos è il protocollo di autenticazione predefinito per Windows dal 2000, ma esistono ancora scenari in cui non può essere utilizzato e in cui il sistema operativo ricorre a NTLM. Matthew Palko spiega che i tecnici Microsoft stanno lavorando a nuove e più evolute funzionalità di autenticazione per Windows 11: Initial and Pass Through Authentication con Kerberos (IAKerb) e un sistema di distribuzione locale di chiavi Kerberos (Key Distribution Center).

NTLM presenta vantaggi che ne hanno reso popolare l’utilizzo in passato: non richiede la connessione del sistema a un controller di dominio, è l’unico protocollo supportato quando si utilizzano account locali, funziona quando il server di destinazione non è noto.

Palko osserva che questi indubbi benefici hanno portato gli sviluppatori di molte applicazioni e servizi a codificare l’utilizzo di NTLM invece di poggiare su protocolli di autenticazione più moderni e sicuri come Kerberos. In forza delle problematiche intrinseche legate all’uso di NTLM, le aziende possono certamente bloccare l’utilizzo di questo protocollo rischiando però di incorrere in problemi di varia natura con le applicazioni che usano NTLM hardcoded al loro interno.

Kerberos, inoltre, deve avere accesso a un controller di dominio e necessita di informazioni esplicite sul server di destinazione. Questi requisiti non possono sempre essere soddisfatti, il che provoca problemi di autenticazione se NTLM non è disponibile.

IAKerb e Key Distribution Center per Kerberos: cosa sono e come funzionano

Microsoft spiega che Windows 11 si sta per arricchire di un paio di nuove funzionalità di sicurezza volte proprio a migliorare il meccanismo di autenticazione degli utenti. IAKerb, già citato in precedenza, è un’estensione del protocollo Kerberos che consente a un client non in grado di appoggiarsi a un controller di dominio, di autenticarsi tramite un server direttamente raggiungibile.

Il meccanismo si affida alle garanzie in termini di sicurezza crittografica che Kerberos può offrire e protegge i messaggi in transito prevenendo eventuali attacchi replay o relay.

La seconda novità alla quale fa riferimento Microsoft, ovvero KDC (Key Distribution Center) è un cambiamento epocale. KDC, infatti, abilita la possibilità di utilizzare l’autenticazione Kerberos con gli account locali. Windows 11 diventa così capace di passare messaggi Keberos anche tra macchine locali senza la necessità di dover aggiungere sistemi dedicati.

Nell’articolo pubblicato da Microsoft c’è anche un mea culpa tra le righe: Palko racconta infatti che l’azienda di Redmond sta anche rimuovendo le istanze di NTLM hardcoded nei componenti del sistema operativo. Come dire, non sono soltanto gli sviluppatori terzi ad aver utilizzato quella pratica.