ニュース

「Windows 11」でNTLM認証が将来的に廃止 ~IT管理者は今から備えを

Kerberos認証の柔軟性を拡大し、NTLM依存を排除へ

公式ブログ「Windows IT Pro Blog」でのアナウンス

 米Microsoftは10月11日(現地時間)、「Windows 11」でNTLM認証を廃止する方針を明らかにした。具体的なスケジュールはまだないが、Kerberos認証の信頼性と柔軟性を拡大することで、NTLMへの依存を減らし、ユーザー認証の強化を進めたい考えだ。

 「NT LAN Manager」(NTLM)は、「Windows NT 3.1」で導入されたユーザー認証方式。クライアントからの認証要求に応じてサーバーがランダムなデータを送る「チャレンジ」と、パスワードとチャレンジを組み合わせたハッシュ値をサーバーからクライアントへ送り返す「レスポンス」のやりとりで認証を行うのが特徴で、生のパスワードがネットワークに流れないという利点がある。

 とはいえ、このユーザー認証方式はすでに時代遅れとなっており、2000年以降、Microsoftは代わりに「Kerberos」という認証プロトコルをデフォルト採用している。にもかかわらず、いまだにKerberosに対応していないシナリオや、WindowsがNTLMへフォールバック(代替手段への振り分け)するシナリオが多く存在するのは、NTLMに以下のメリットがあるためだ。

  • ドメインコントローラーへのローカルネットワーク接続を必要としない
  • ローカルアカウントで唯一サポートされるユーザー認証プロトコルである
  • ターゲットとなるサーバーが誰であるかを知らない場合でも動作する

 つまり、設計が古いため簡素で、使いやすい。古いアプリやサービスにハードコーディングされていることもあり、よりセキュリティの高いKerberosへ単純に置き換えられないという事情がある。

 そこで、MicrosoftはKerberosを拡張し、セキュリティを確保しつつ、より柔軟に扱えるようにしているとのこと。

  • IAKerb:ドメインコントローラーへの通信経路を持たないクライアントが、通信経路のあるサーバーを介して認証できるようにする仕組み
  • Kerberos用のローカルKDC:ローカルPCのセキュリティアカウントマネージャー上に構築することで、Kerberosを用いたローカルユーザーアカウントのリモート認証を実行

 これらはデフォルトで有効になっており、ほとんどのシナリオで設定は不要。互換性を維持するために、NTLMへのフォールバックも引き続き利用できる。並行して、既存のWindows コンポーネントでも、NTLMがハードコーディングされた部分を修正しているという。

 さらに、同社はNTLMの管理機能を拡張し、IT管理者がNTLMの利用状況を確認したり、必要に応じてブロックしたりといった措置を柔軟に講じられるようにしているとのこと。将来的なNTLMの廃止に備え、IT管理者はこうした機能拡張を活用し、現状の把握と移行計画の立案に移るべきだろう。