Windows 11 gaat NTLM afschaffen en AI-aangedreven app-besturingselementen en beveiligingsmaatregelen toevoegen

Microsoft bevestigde maandag zijn plannen om NT LAN Manager (NTLM) in Windows 11 in de tweede helft van het jaar af te schaffen, toen het een hele reeks nieuwe beveiligingsmaatregelen aankondigde om het veelgebruikte desktopbesturingssysteem te versterken.

“Het afschaffen van NTLM is een grote vraag van onze beveiligingsgemeenschap, omdat het de gebruikersauthenticatie zal versterken. De afschaffing is gepland in de tweede helft van 2024”, aldus de technologiegigant.

De Windows-maker kondigde oorspronkelijk in oktober 2023 zijn besluit aan om NTLM te laten vallen ten gunste van Kerberos voor authenticatie.

Ondanks het gebrek aan ondersteuning van NTLM voor cryptografische methoden zoals AES of SHA-256, is het protocol ook gevoelig geworden voor relay-aanvallen, een techniek die op grote schaal wordt uitgebuit door de aan Rusland gelinkte APT28-acteur via zero-day-fouten in Microsoft Outlook.

Andere veranderingen die naar Windows 11 komen, zijn onder meer het standaard inschakelen van Local Security Authority (LSA)-bescherming voor nieuwe consumentenapparaten en het gebruik van op virtualisatie gebaseerde beveiliging (VBS) om Windows Hello-technologie te beveiligen.

Smart App Control, dat gebruikers beschermt tegen het uitvoeren van niet-vertrouwde of niet-ondertekende applicaties, is ook geüpgraded met een kunstmatige intelligentie (AI)-model om de veiligheid van apps te bepalen en apps te blokkeren die onbekend zijn of malware bevatten.

Als aanvulling op Smart App Control is er een nieuwe end-to-end-oplossing genaamd Trusted Signing, waarmee ontwikkelaars hun apps kunnen ondertekenen en het hele certificaatondertekeningsproces wordt vereenvoudigd.

Enkele van de andere opmerkelijke beveiligingsverbeteringen zijn als volgt:

  • Win32-app-isolatie, die is ontworpen om schade te beperken in het geval van een applicatiecompromis door een beveiligingsgrens te creëren tussen de applicatie en het besturingssysteem
  • Beperk misbruik van beheerdersrechten door de expliciete goedkeuring van de gebruiker te vragen
  • VBS-enclaves waarmee externe ontwikkelaars vertrouwde uitvoeringsomgevingen kunnen creëren

Microsoft zei verder dat het Windows Protected Print Mode (WPP), dat het in december 2023 onthulde, maakt als een manier om de risico's van het geprivilegieerde Spooler-proces tegen te gaan en de printstapel te beveiligen, de standaard printmodus in de toekomst.

Het idee is om de Print Spooler als een beperkte service uit te voeren en de aantrekkingskracht ervan als pad voor bedreigingsactoren drastisch te beperken om verhoogde rechten te verkrijgen op een gecompromitteerd Windows-systeem.

Redmond zei ook dat het niet langer TLS (transport layer security) serverauthenticatiecertificaten met RSA-sleutels van minder dan 2048 bits zal vertrouwen vanwege “vooruitgang in rekenkracht en cryptanalyse.”

De lijst met beveiligingsfuncties wordt afgerond met Zero Trust Domain Name System (ZTDNS), dat tot doel heeft commerciële klanten te helpen Windows binnen hun netwerken te vergrendelen door Windows-apparaten standaard te beperken om alleen verbinding te maken met goedgekeurde netwerkbestemmingen op basis van de domeinnaam.

Deze verbeteringen volgen ook op kritiek op de beveiligingspraktijken van Microsoft, waardoor nationale actoren uit China en Rusland inbreuk konden maken op de Exchange Online-omgeving. In een recent rapport van de Amerikaanse Cyber ​​Safety Review Board (CSRB) wordt opgemerkt dat de beveiligingscultuur van het bedrijf een herziening vereist.

Als reactie hierop heeft Microsoft ingrijpende veranderingen geschetst om prioriteit te geven aan beveiliging boven alles als onderdeel van zijn Secure Future Initiative (SFI) en het senior leiderschap rechtstreeks verantwoordelijk te houden voor het behalen van cyberbeveiligingsdoelstellingen.

Google van zijn kant zei dat het CSRB-rapport “een al lang verwachte, dringende noodzaak onderstreept om een ​​nieuwe benadering van beveiliging te hanteren”, waarbij het regeringen oproept om systemen en producten aan te schaffen die 'safe by design' zijn, en om hercertificering van de beveiliging af te dwingen voor producten die lijden onder grote problemen. veiligheidsincidenten, en wees u bewust van de risico's die de monocultuur met zich meebrengt.

“Het gebruik van dezelfde leverancier voor besturingssystemen, e-mail, kantoorsoftware en beveiligingstools (…) verhoogt het risico dat één enkele inbreuk een heel ecosysteem ondermijnt”, aldus het bedrijf.

“Overheden moeten een strategie van meerdere leveranciers aannemen en open standaarden ontwikkelen en bevorderen om interoperabiliteit te garanderen, waardoor het voor organisaties gemakkelijker wordt om onveilige producten te vervangen door producten die beter bestand zijn tegen aanvallen.”

Thijs Van der Does