Microsoftは2024年の後半にWindows 11でNT LAN Manager (NTLM)の使用を廃止し、Kerberosへの移行を発表した。NTLMはAESやSHA-256などの暗号化方法をサポートしておらず、特にロシアに関連するAPT28アクターによってゼロデイ脆弱性を利用したリレー攻撃に対して脆弱であった。
新たなセキュリティ対策として、新しい消費者向けデバイスではLocal Security Authority (LSA) 保護がデフォルトで有効になり、Windows Hello技術を保護するために仮想化ベースのセキュリティ(VBS)が使用される。また、信頼できないまたは署名されていないアプリケーションの実行を防ぐSmart App ControlがAIモデルによってアップグレードされ、未知のアプリやマルウェアを含むアプリをブロックする。
開発者がアプリに署名し、証明書署名プロセスを簡素化する新しいエンドツーエンドソリューションであるTrusted Signingが導入される。その他のセキュリティ改善には、アプリケーションのコンプロマイズが発生した場合に損害を隔離するWin32アプリの分離、管理者権限の乱用を制限するためのユーザーの明示的な承認要求、第三者開発者が信頼できる実行環境を作成できるVBSエンクレーブが含まれる。
Microsoftはまた、特権スプーラープロセスのリスクに対処し、印刷スタックを保護するために2023年12月に発表したWindows Protected Print Mode (WPP)を将来的にデフォルトの印刷モードとする計画を発表した。これにより、Print Spoolerを制限されたサービスとして実行し、脅威アクターがコンプロマイズされたWindowsシステム上で昇格された権限を得るための経路としての魅力を大幅に制限する。
さらに、計算能力と暗号解析の進歩により、2048ビット未満のRSAキーを持つTLS (トランスポート層セキュリティ) サーバー認証証明書を信頼しないことを決定した。セキュリティ機能のリストを締めくくるのは、商用顧客がネットワーク内でWindowsをロックダウンするのを支援するZero Trust Domain Name System (ZTDNS)で、Windowsデバイスがドメイン名で承認されたネットワーク先にのみ接続するようにネイティブに制限する。
これらの改善は、中国とロシアの国家主導のアクターによるMicrosoftのExchange Online環境の侵害を許したMicrosoftのセキュリティ慣行への批判に続くものである。U.S. Cyber Safety Review Board (CSRB)の最近の報告書では、同社のセキュリティ文化が抜本的な見直しを必要としていると指摘されている。これに応えて、Microsoftはセキュリティを最優先事項とするSecure Future Initiative (SFI)の一環として、サイバーセキュリティ目標の達成に向けて上級リーダーシップを直接責任を持たせる大規模な変更を概説した。
【ニュース解説】
Microsoftは2024年後半にWindows 11でNT LAN Manager (NTLM)の使用を廃止し、より安全なKerberos認証プロトコルへの移行を計画しています。NTLMは古い認証プロトコルであり、現代の暗号化メソッドをサポートしていないため、特にリレー攻撃に対して脆弱です。この変更は、セキュリティコミュニティからの強い要望に応えるものであり、ユーザー認証の強化を目的としています。
加えて、MicrosoftはWindows 11におけるセキュリティ対策を強化するため、新しい消費者向けデバイスでLocal Security Authority (LSA) 保護をデフォルトで有効化し、Windows Hello技術を保護するために仮想化ベースのセキュリティ(VBS)を使用します。さらに、AIモデルを活用したSmart App Controlを導入し、信頼できないアプリやマルウェアを含むアプリの実行を防ぎます。これにより、ユーザーはより安全にアプリケーションを利用できるようになります。
また、開発者がアプリに署名しやすくするための新しいエンドツーエンドソリューションであるTrusted Signingが導入されます。これにより、証明書署名プロセスが簡素化され、開発者はセキュリティを強化したアプリを提供しやすくなります。その他のセキュリティ改善として、アプリケーションのコンプロマイズが発生した場合に損害を隔離するWin32アプリの分離、管理者権限の乱用を制限するためのユーザーの明示的な承認要求、信頼できる実行環境を作成できるVBSエンクレーブなどがあります。
これらのセキュリティ強化策は、Microsoftがセキュリティを最優先事項とするSecure Future Initiative (SFI)の一環として、サイバーセキュリティ目標の達成に向けて上級リーダーシップを直接責任を持たせる大規模な変更を概説したことに続くものです。これらの改善は、Microsoftのセキュリティ慣行への批判に対する応答であり、より安全なデジタル環境の実現を目指しています。
このような変更は、企業や個人ユーザーにとって、より安全なコンピューティング環境を提供することを意味します。しかし、新しい技術やプロトコルへの移行は、短期的には学習コストや互換性の問題を引き起こす可能性があります。長期的には、これらのセキュリティ強化策がサイバー攻撃のリスクを減少させ、より信頼性の高いデジタル環境を提供することが期待されます。
from Windows 11 to Deprecate NTLM, Add AI-Powered App Controls and Security Defenses.
