मायक्रोसॉफ्टने NTLM रिलायन्स कमी करण्यासाठी डिझाइन केलेल्या नवीन विंडोज ऑथेंटिकेशन क्षमता उघड केल्या आहेत कारण व्यापक सुरक्षा बदल जवळ येत आहेत.
3 जून 2026 11:04 EDT
गेल्या काही वर्षांपासून मायक्रोसॉफ्ट Windows मध्ये NTLM फेज आउट करणे Kerberos-आधारित पर्यायांच्या बाजूने. विंडोजच्या क्लायंट आणि सर्व्हर आवृत्त्यांच्या पुढील आवृत्त्यांसह प्रारंभ करून, मायक्रोसॉफ्ट देखील असेल डीफॉल्टनुसार लेगसी ऑथेंटिकेशन प्रोटोकॉल अक्षम करणे. Windows Server 2025 साठी नवीनतम सुरक्षा बेसलाइन पॅकेजमध्ये, कंपनी आधीच आहे ग्राहकांना इनकमिंग कॉन्फिगरेशनचे ऑडिट करण्याची परवानगी देते. आता, NTLM वरील अवलंबित्व कमी करण्यासाठी बदलांची लाट जाहीर केली आहे.
Windows 11 क्लायंट आणि सर्व्हरच्या आगामी इनसाइडर रिलीझसह, काही परिस्थिती ज्यांना पूर्वी NTLM आवश्यक होते ते Kerberos (IAKerb) आणि लोकल की डिस्ट्रिब्युशन सेंटर (LocalKDC) वापरून प्रारंभिक आणि पास-थ्रू ऑथेंटिकेशनवर परत येऊ शकतील.
ज्यांना माहिती नाही त्यांच्यासाठी, जेव्हा क्लायंटला डोमेन कंट्रोलर (DC) वर थेट प्रवेश नसतो तेव्हा IAKerb Kerberos कार्य करण्यास सक्षम करते. पारंपारिक Kerberos प्रमाणीकरणासाठी थेट कनेक्टिव्हिटी आवश्यक असताना, IAKerb लक्ष्य सेवेला Kerberos-आधारित एक्सचेंजसाठी प्रॉक्सी म्हणून कार्य करण्यास सक्षम करते. हे विविध एंटरप्राइझ परिस्थितींमध्ये उपयुक्त आहे जेथे DCs ची दृश्यमानता प्रतिबंधित आहे किंवा जेथे क्लायंट सेवा लक्ष्यित सेवांपर्यंत पोहोचू शकतात परंतु संबंधित DCs नाहीत.
दरम्यान, LocalKDC NTLM वर अवलंबून न राहता, स्थानिक खाते परिस्थितीसाठी Kerberos-आधारित प्रमाणीकरण सक्षम करते. हे विशेषतः स्टँडअलोन डिव्हाइसेस, कार्यसमूह वातावरण आणि बरेच काही वर उपयुक्त बनवते.
IAKerb आणि LocalKDC एकत्रितपणे, रिमोट एंटरप्राइझ आणि स्थानिक पर्यावरण परिस्थितींमध्ये NTLM अवलंबित्व कमी करेल. विकसक सुसंगत आणि सुरक्षित असलेल्या आधुनिक प्रमाणीकरण प्रवाहांवर अवलंबून राहण्यास सक्षम असतील. मायक्रोसॉफ्टला हे समजले आहे की बहुतेक ग्राहक सुरक्षिततेच्या कारणास्तव NTLM पासून दूर जात असताना, इतर विशिष्ट वापर-प्रकरणांसाठी लेगसी प्रोटोकॉल वापरणे सुरू ठेवतात. ते आशा करते की IAKerb आणि LocalKDC यापैकी काही अंतर बंद करण्यात मदत करतील आणि संस्थांना NTLM सोडण्यास सक्षम करतील.
विंडोज इनसाइडर प्रोग्राममध्ये पुढील कॅनरी चॅनेल रिलीझसह, मायक्रोसॉफ्ट या क्षमतांचे पूर्वावलोकन करेल. लोकलकेडीसी अक्षम असताना आयएकेर्ब डीफॉल्टनुसार सक्षम केले जाईल, परंतु वापरकर्त्यांकडे हे वर्तन विंडोज रेजिस्ट्री की द्वारे टॉगल करण्याची क्षमता असेल, जसे स्पष्ट केले आहे येथे.
जसजसे कंपनी हळूहळू सामान्य उपलब्धतेकडे वाटचाल करत आहे, तसतसे ते व्यवस्थापन साधने आणि गट धोरणामध्ये हे पर्याय वापरण्यास सुरुवात करेल. आत्तासाठी, मायक्रोसॉफ्टने NTLM वापरत असलेल्या ग्राहकांना पुढील पूर्वावलोकनामध्ये उपलब्ध होताच या सुरक्षा कार्यक्षमतेची चाचणी आणि सत्यापन सुरू करण्यासाठी जोरदारपणे प्रोत्साहित केले आहे.
