「NTLM」の廃止、「Kerberos」への移行は第2フェイズへ ～Microsoftが発表

同社のアナウンス

　米Microsoftは6月2日（現地時間）、Kerberos認証のサポート機能「IAKerb」と「LocalKDC」のパブリックプレビューを今月後半にも開始すると発表した。「Windows Insider Program」のCanaryチャネルで、クライアント・サーバーともに展開される。

　「NT LAN Manager」（NTLM）は「Windows NT 3.1」で導入されたユーザー認証方式で、30年以上にわたりWindows認証の一部として利用されてきたが、もはや時代遅れとなっている。そこで、3ステップにわたる段階的な廃止フェイズが進行中だ。Microsoftはより安全な「Kerberos」への移行を推奨し、その支援を行っている。

• フェイズ 1（実施済み）：「Windows Server 2025」と「Windows 11 バージョン 24H2」で強化された「NTLM」監査機能を提供。「NTLM」がどこで使われているかを把握できる
• フェイズ 2（2026年後半）：「NTLM」依存の主要課題解消を支援。移行が円滑になるように「Kerberos」を拡張した「IAKerb」や「Kerberos」用のローカル鍵配布センター（LocalKDC）を提供
• フェイズ 3（次期Windowsサーバー・クライアント）：「NTLM」を既定で無効化。必要な場合のみポリシーで有効化できる

　「NTLM」から「Kerberos」への移行にあたってはさまざまな問題があり、以下のようなシナリオでは依然「NTLM」が使われているのが実情だ。

• ドメインコントローラー（DC）に直接到達（line-of-sight）できないデバイス
• ローカルアカウントが絡む認証フロー
• スタンドアロンやワークグループの環境
• 「Kerberos」の到達性が限られるネットワーク構成

　「IAKerb」と「LocalKDC」はこうしたギャップを削減し、「NTLM」フォールバックへの依存を軽減する。

　「IAKerb」（Initial and Pass-Through Authentication using Kerberos）は、DCに直接到達できない場合でも、サービスが代理で「Kerberos」チケットの取得を仲介する。ネットワークの分離（セグメント化）やドメインコントローラーの可視性が制限された環境、リモート・クラウド接続などで特に有用だ。

　一方の「LocalKDC」はWindowsに実装された「Key Distribution Center」（鍵配布センター）で、ローカルアカウント認証を「Kerberos」で扱えるようにする。デバイスをまたぐローカルアカウントの認証は従来「NTLM」に依存しがちだったが、「LocalKDC」があればそれは不要となる。ワークグループ環境やスタンドアロン端末、ローカルアカウントによるリモートリソースへのアクセス、ドメイン基盤を持たないピアツーピア・小規模環境などが対象となる。

• IAKerb：企業・ドメイン環境の「NTLM」フォールバックを削減
• LocalKDC：ローカル・非ドメイン環境の「NTLM」フォールバックを削減

　「Kerberos」をドメインの企業向け資格情報とローカルアカウントの双方へ浸透させることにより、「NTLM」フォールバックに依存してきた資格情報の窃取やリレー型攻撃――横方向への侵害拡大（ラテラルムーブメント）を含む――への耐性を高められる。

　今後のプレビュービルドでは、「IAKerb」と「LocalKDC」が以下のように設定される予定。

• IAKerb：既定で有効
• LocalKDC：既定で無効

　いずれもレジストリキーで設定の変更が可能で、グループポリシーやMDM（モバイルデバイス管理）による管理手段もいずれ提供される予定だ。