أعلنت شركة مايكروسوفت عن خطة تدريجية من ثلاث مراحل للتخلص من بروتوكول NTLM (New Technology LAN Manager)، وذلك ضمن جهودها لتعزيز أمان بيئات ويندوز عبر الاعتماد على بروتوكولات أقوى مثل Kerberos.
الخطوة تأتي بعد أكثر من عامين من إعلان الشركة عن نيتها إيقاف التقنية القديمة التي أصبحت عرضة لهجمات إعادة التشغيل (Replay) وهجمات الوسيط (Man-in-the-Middle)، إضافة إلى هجمات Relay وPass-the-Hash، نتيجة اعتمادها على تشفير ضعيف. وقد تم إيقاف تحديث NTLM رسمياً في يونيو 2024.
لماذا التخلص من NTLM؟
بحسب مريم جويدا، مديرة البرامج التقنية في مايكروسوفت، فإن NTLM كان مصمماً لتوفير المصادقة والنزاهة والسرية للمستخدمين، لكنه لم يعد قادراً على مواجهة التهديدات الحديثة. ورغم إيقافه، ما يزال مستخدماً في العديد من المؤسسات بسبب الاعتماد على تطبيقات قديمة أو قيود في الشبكات، مما يعرّض هذه البيئات لمخاطر أمنية كبيرة.
مراحل الخطة الثلاثية
- المرحلة الأولى: تعزيز الرؤية والتحكم عبر تحسين آليات التدقيق الخاصة بـ NTLM لفهم أماكن استخدامه وأسباب ذلك (متاحة الآن).
- المرحلة الثانية: معالجة العقبات الشائعة أمام الانتقال إلى Kerberos عبر ميزات مثل IAKerb وLocal KDC (قيد الإطلاق)، إضافة إلى تحديث مكونات ويندوز الأساسية لتفضيل Kerberos (متوقع في النصف الثاني من 2026).
- المرحلة الثالثة: تعطيل NTLM افتراضياً في الإصدار القادم من Windows Server والعميل المرتبط به، مع إمكانية إعادة تفعيله فقط عبر سياسات جديدة.
نحو مستقبل مقاوم للتصيد وكلمة المرور
مايكروسوفت ترى أن هذه الخطوة تمثل انتقالاً كبيراً نحو مستقبل يعتمد على المصادقة بدون كلمات مرور وأكثر مقاومة لهجمات التصيد. وتوصي المؤسسات التي تعتمد على NTLM بإجراء عمليات تدقيق، ورسم خرائط للاعتمادات، والانتقال إلى Kerberos، واختبار بيئات بدون NTLM في أنظمة غير إنتاجية، ثم تفعيل التحديثات اللازمة.
وبحسب جويدا، فإن تعطيل NTLM افتراضياً لا يعني إزالته بالكامل من ويندوز بعد، بل يعني أن النظام سيُسلّم في وضع آمن افتراضياً حيث يتم حظر المصادقة عبر NTLM، مع تفضيل بروتوكولات Kerberos الحديثة، مع توفير حلول للسيناريوهات القديمة عبر ميزات مثل Local KDC وIAKerb.
