كشفت Microsoft عن خارطة طريق تهدف إلى جعل نظام التشغيل Windows أكثر تشدداً في إعداداته الافتراضية، عبر المضي في خطة لتعطيل بروتوكول مصادقة الشبكة القديم NTLM في الإصدارات المقبلة. وتستهدف هذه الاستراتيجية، التي تمتد عبر 3 مراحل زمنية، ترسيخ بروتوكول Kerberos خياراً أساسياً في معظم البيئات المؤسسية، مع توفير إمكانية إعادة تمكين البروتوكول القديم عبر سياسات محددة عند الضرورة القصوى.
وتأتي هذه الخطوة لتقليص الاعتماد على بروتوكولات المصادقة المتقادمة، في ظل تحذيرات أمنية متزايدة من قابليتها للاستغلال داخل بيئات النطاق عبر هجمات التتابع وهجمات تمرير التجزئة (Pass-the-hash)؛ إذ تفتقر البروتوكولات القديمة لآليات التدقيق والتشخيص المتطورة المتوفرة في الأنماط الحديثة
مخاطر أمنية موروثة
أوضحت Microsoft أن بروتوكول NTLM ظل جزءاً أصيلاً من منظومة مصادقة Windows لعقود، وغالباً كخيار احتياطي عند تعذر استخدام Kerberos. غير أن استمرار هذا الاعتماد يوسع مساحة التعرض للمخاطر، التي تتجسد في غياب توثيق الخادم، والتعرض لهجمات الرجل في المنتصف، وضعف التشفير، بالإضافة إلى ضبابية الرؤية التشغيلية حول أسباب ومواقع استخدامه داخل البيئات التقنية.
وأكدت الشركة أن تعطيل البروتوكول افتراضياً يختلف عن إزالته فورياً من النظام؛ إذ يتمثل الإجراء في ضبط النظام لمنع مصادقة الشبكة عبره تلقائياً، وتفضيل آليات المصادقة الأحدث.
خارطة الطريق: 3 مراحل نحو التغيير الكامل
المرحلة الأولى: بناء الرؤية والتحكم (متاحة حالياً)
بدأت الشركة بتوفير أدوات تدقيق محسنة (Enhanced NTLM Auditing) في إصدارات Windows 11 الإصدار 24H2 وما بعده، ونظام Windows Server 2025. وتهدف هذه المرحلة إلى تمكين الفرق التقنية من رصد مستخدمي البروتوكول، وفهم أسباب اختياره ومواقع استخدامه. وتظهر سجلات التدقيق تفاصيل دقيقة تشمل هوية الحساب والعملية وسياق الوجهة، مع التمييز بين الأحداث المعلوماتية والتحذيرية عند رصد انخفاض في مستوى الأمان.
المرحلة الثانية: معالجة معوقات الانتقال (النصف الثاني من 2026)
تعتزم الشركة في هذه المرحلة طرح قدرات تقنية لمعالجة الأسباب الشائعة التي تفرض التراجع إلى NTLM، مثل حالات انقطاع الاتصال بـ Domain Controller، أو مصادقة الحسابات المحلية. وتبرز في هذا السياق ميزات تقنية مثل IAKerb و Local Key Distribution Center كحلول بديلة لضمان استمرارية المصادقة الآمنة.
المرحلة الثالثة: التعطيل الافتراضي الشامل
تبدأ هذه المرحلة مع الإصدار الرئيسي التالي من Windows Server وما يقابله من إصدارات الأجهزة المكتبية؛ حيث يُعطل البروتوكول افتراضياً لمصادقة الشبكة، ويصبح استخدامه مشروطاً بإعادة تمكين صريحة عبر السياسات الإدارية. وقد أشارت الشركة إلى أن الجداول الزمنية وتوفر الميزات قد يطرأ عليها تغيير وفقاً لخطط التطوير المستمرة.
دلالات الخطوة لفرق الأمن والبنية التحتية
تفرض هذه التحولات واقعاً جديداً على مدراء الأنظمة وفرق الأمن السيبراني، يتلخص في الآتي:
- اختبار الاعتمادية: ضرورة تفعيل التدقيق المحسن وجمع قائمة بالخدمات والتطبيقات التي تستدعي البروتوكول القديم لتصنيفها حسب الأهمية.
- تحليل دوافع الاستخدام: توفر سجلات التدقيق خريطة عملية للأسباب، سواء تعلق الأمر بتطبيقات قديمة أو حسابات محلية أو أهداف تفتقر لأسماء صالحة لبروتوكول Kerberos.
- تقليص مساحة الهجوم: يساهم هذا التحول بشكل مباشر في خفض فرص الحركة الجانبية للمهاجمين داخل الشبكات المؤسسية.
- حوكمة الاستثناءات: الانتقال نحو نموذج يفرض تقديم مبررات واضحة ونطاق زمني محدد لإعادة تمكين البروتوكول في الحالات الاستثنائية.
