Do Windows 11 přicházejí 2 nové metody ověřování.
Microsoft přichází s novými metodami ověřování pro Windows 11, tvrdí technický gigant se sídlem v Redmondu nejnovější příspěvek na blogu. Nové metody ověřování budou mnohem méně závislé na technologiích NT LAN Manager (NTLM). a využije spolehlivost a flexibilitu technologií Kerberos.
Dvě nové metody ověřování jsou:
- Počáteční a průchozí ověření pomocí Kerberos (IAKerb)
- místní centrum distribuce klíčů (KDC)
Technologický gigant se sídlem v Redmondu navíc vylepšuje funkci auditu a správy NTLM, ale ne s cílem nadále je používat. Cílem je vylepšit ji natolik, aby ji organizace mohly lépe ovládat, a tím ji odstranit.
Zavádíme také vylepšené funkce auditování a správy NTLM, abychom vaší organizaci poskytli lepší přehled o vašem používání NTLM a lepší kontrolu nad jeho odstraňováním. Naším konečným cílem je eliminovat potřebu používat NTLM vůbec, abychom pomohli zlepšit bezpečnostní lištu ověřování pro všechny uživatele Windows.
Microsoft
Nové metody ověřování Windows 11: Všechny podrobnosti
Podle Microsoftu bude IAKerb sloužit k tomu, aby se klienti mohli autentizovat pomocí Kerberos v rozmanitějších topologiích sítě. Na druhou stranu KDC přidává podporu Kerberos do místních účtů.
Technologický gigant se sídlem v Redmondu podrobně vysvětluje, jak fungují 2 nové metody ověřování ve Windows 11, jak si můžete přečíst níže.
IAKerb je veřejné rozšíření průmyslového standardního protokolu Kerberos, které umožňuje klientovi bez přímé viditelnosti k řadiči domény autentizaci prostřednictvím serveru, který má přímou viditelnost. Funguje to prostřednictvím rozšíření Negotiate autentizace a umožňuje zásobníku ověřování systému Windows proxy zprávy Kerberos přes server jménem klienta. IAKerb spoléhá na záruky kryptografického zabezpečení Kerberos při ochraně zpráv při přenosu přes server, aby se zabránilo přehrání nebo předávání útoků. Tento typ proxy je užitečný v prostředích segmentovaných firewallem nebo ve scénářích vzdáleného přístupu.
Microsoft
Lokální KDC pro Kerberos je postaveno nad správcem bezpečnostních účtů místního počítače, takže vzdálené ověřování místních uživatelských účtů lze provádět pomocí Kerberos. To využívá IAKerb, který umožňuje systému Windows předávat zprávy Kerberos mezi vzdálenými místními počítači, aniž by bylo nutné přidávat podporu pro další podnikové služby, jako je DNS, netlogon nebo DCLocator. IAKerb také nevyžaduje, abychom otevírali nové porty na vzdáleném počítači, abychom mohli přijímat zprávy Kerberos.
Microsoft
Technologický gigant se sídlem v Redmondu se snaží omezit používání protokolů NTLM a společnost pro to má řešení. 
Kromě rozšíření pokrytí scénářů Kerberos také opravujeme pevně zakódované instance NTLM zabudované do stávajících součástí Windows. Tyto komponenty přesouváme k použití protokolu Negotiate, aby bylo možné místo NTLM použít Kerberos. Přechodem na Negotiate budou tyto služby moci využívat výhod IAKerb a LocalKDC pro místní i doménové účty.
Microsoft
Dalším důležitým bodem, který je třeba vzít v úvahu, je skutečnost, že společnost Microsoft vylepšuje výhradně správu protokolů NTLM s cílem jej nakonec odstranit z Windows 11.
Omezení používání NTLM nakonec vyvrcholí jeho deaktivací ve Windows 11. Používáme přístup založený na datech a monitorujeme snížení používání NTLM, abychom určili, kdy bude bezpečné jej deaktivovat.
Microsoft
Technologický gigant se sídlem v Redmondu se připravil krátký průvodce pro společnosti a zákazníky o tom, jak snížit používání ověřovacích protokolů NTLM.
