إيقاف NTLM في ويندوز: خطة مايكروسوفت للانتقال إلى Kerberos

إيقاف NTLM أصبح خطوة محورية في خطة مايكروسوفت لتحويل ويندوز إلى Kerberos، مع ثلاث مراحل تقلل المخاطر وتوضح ما يجب على الشركات فعله.

لماذا قررت مايكروسوفت إيقاف NTLM؟

بعد أكثر من عامين على إعلان نيتها، أكدت مايكروسوفت أن بروتوكول NTLM أصبح قديماً وتم إهماله رسمياً في يونيو 2024 ولم يعد يتلقى تحديثات أمنية. وتقول الشركة إن الاعتماد على تشفير ضعيف جعله عرضة لهجمات إعادة التشغيل والرجل في الوسط.

هذا الوضع يترك المؤسسات مكشوفة لهجمات مثل relay وpass-the-hash التي تستغل بيانات الاعتماد داخل الشبكة. ووفقاً لتحليل تيكبامين، فإن استمرار استخدام NTLM في بيئات ويندوز المختلطة يرفع احتمال اختراق الموارد الحساسة حتى مع وجود سياسات وصول حديثة.

لماذا ما زال NTLM مستخدماً في الشركات؟

تؤكد مايكروسوفت أن الاعتماديات القديمة تمنع التحول السريع إلى Kerberos، خصوصاً في الشبكات التي تحتوي على تطبيقات موروثة أو تكوينات معقدة. لذلك تفضل فرق تقنية المعلومات الحفاظ على التوافق إلى أن تتوفر بدائل آمنة.

• تطبيقات قديمة تعتمد مصادقة NTLM المضمنة.
• قيود شبكية أو بيئات هجينة يصعب تحديثها.
• منطق تطبيقات مكتوب حول تدفق المصادقة القديم.

كيف تعمل خطة مايكروسوفت ذات المراحل الثلاث؟

الخطة المعلنة تأتي على ثلاث مراحل متدرجة للوصول إلى تعطيل افتراضي للبروتوكول في ويندوز دون تعطيل الأعمال الحرجة. وحتى الآن لم تكشف مايكروسوفت عن جدول زمني نهائي لكل مرحلة.

• المرحلة الأولى: مراقبة الاستخدام وتوسيع السجلات لاكتشاف الاعتماديات.
• المرحلة الثانية: معالجة الاعتماديات وترحيل الخدمات إلى Kerberos مع اختبارات.
• المرحلة الثالثة: حظر مصادقة NTLM على الشبكة مع استثناءات محدودة.

وتوضح مايكروسوفت أن التعطيل الافتراضي لا يعني إزالة NTLM بالكامل، بل جعل مصادقة الشبكة تمنع تلقائياً، بينما يفضل النظام بدائل Kerberos الأكثر أماناً.

ما علاقة التحول بمستقبل كلمة المرور؟

تربط مايكروسوفت هذه الخطوة برؤية مقاومة للتصيد تعتمد خيارات أكثر أماناً وتقلل الاعتماد على كلمات المرور. كما تعمل على قدرات مثل Local KDC وميزة IAKerb التجريبية لتغطية السيناريوهات التي لا تزال تحتاج توافقاً مع الأنظمة القديمة.

فوائد الاعتماد على Kerberos في ويندوز

• مصادقة متبادلة تقلل فرص انتحال الهوية.
• تذاكر آمنة بدلاً من إرسال كلمات المرور عبر الشبكة.
• تكامل أفضل مع سياسات الوصول المشروط والأجهزة الموثوقة.

ما الذي يجب على المؤسسات فعله الآن؟

توصي مايكروسوفت مسؤولي تقنية المعلومات بالتحرك مبكراً قبل تطبيق الإعدادات الجديدة في الإصدارات القادمة من ويندوز. ويشدد خبراء الأمن على ضرورة التخطيط لتجنب توقف الخدمات.

كما توصي الشركة بعمل خرائط للاعتماديات ومراجعة التطبيقات القديمة قبل نقلها إلى الإنتاج، مع الاستفادة من بيئات تجريبية لاختبار التوافق.

• إجراء جرد لخدمات وخوادم تعتمد NTLM.
• ترحيل التطبيقات إلى Kerberos أو تحديث مكتبات المصادقة.
• اختبار إعدادات NTLM-off داخل بيئات غير إنتاجية.
• مراقبة السجلات وتحديث سياسات الحماية والتوثيق.

ويرى تيكبامين أن نجاح الانتقال يتطلب تدريب الفرق وبناء خريطة واضحة للاعتماديات، لأن إيقاف NTLM دون استعداد قد يسبب انقطاعات. ومع ذلك، فإن اعتماد Kerberos يمنح ويندوز طبقة أمان أكثر صلابة ويقرب المؤسسات من المستقبل بدون كلمة مرور.