2 nye godkendelsesmetoder kommer til Windows 11.
Microsoft kommer med nye godkendelsesmetoder til Windows 11, ifølge den Redmond-baserede teknologigigants seneste blogindlæg. De nye autentificeringsmetoder vil være langt mindre afhængige på NT LAN Manager (NTLM) teknologier og vil bruge Kerberos-teknologiernes pålidelighed og fleksibilitet.
De 2 nye godkendelsesmetoder er:
- Initial- og Pass-Through-godkendelse ved hjælp af Kerberos (IAKerb)
- lokalt nøgledistributionscenter (KDC)
Derudover forbedrer den Redmond-baserede teknologigigant NTLM-revisions- og administrationsfunktionaliteten, men ikke med det mål at fortsætte med at bruge den. Målet er at forbedre det nok til at give organisationer mulighed for at kontrollere det bedre og dermed fjerne det.
Vi introducerer også forbedret NTLM-revisions- og administrationsfunktionalitet for at give din organisation mere indsigt i dit NTLM-brug og bedre kontrol med at fjerne det. Vores slutmål er at eliminere behovet for overhovedet at bruge NTLM for at hjælpe med at forbedre sikkerhedslinjen for godkendelse for alle Windows-brugere.
Microsoft
Windows 11 nye godkendelsesmetoder: Alle detaljer
Ifølge Microsoft vil IAKerb blive brugt til at give klienter mulighed for at autentificere med Kerberos i mere forskelligartede netværkstopologier. På den anden side tilføjer KDC Kerberos-understøttelse til lokale konti.
Den Redmond-baserede teknologigigant forklarer i detaljer, hvordan de 2 nye autentificeringsmetoder fungerer på Windows 11, som du kan læse nedenfor.
IAKerb er en offentlig udvidelse til industristandarden Kerberos-protokollen, der tillader en klient uden synslinje til en domænecontroller at autentificere gennem en server, der har linie-of-sight. Dette fungerer gennem Negotiate-godkendelsesudvidelsen og tillader Windows-godkendelsesstakken at proxy Kerberos-meddelelser gennem serveren på vegne af klienten. IAKerb er afhængig af Kerberos' kryptografiske sikkerhedsgarantier for at beskytte meddelelser, der sendes gennem serveren, for at forhindre genafspilning eller relæangreb. Denne type proxy er nyttig i firewallsegmenterede miljøer eller fjernadgangsscenarier.
Microsoft
Den lokale KDC til Kerberos er bygget oven på den lokale maskines Security Account Manager, så fjerngodkendelse af lokale brugerkonti kan udføres ved hjælp af Kerberos. Dette udnytter IAKerb til at give Windows mulighed for at sende Kerberos-meddelelser mellem lokale eksterne maskiner uden at skulle tilføje understøttelse af andre virksomhedstjenester som DNS, netlogon eller DCLocator. IAKerb kræver heller ikke, at vi åbner nye porte på fjernmaskinen for at acceptere Kerberos-meddelelser.
Microsoft
Den Redmond-baserede teknologigigant er indstillet på at begrænse brugen af NTLM-protokoller, og virksomheden har en løsning til det. 
Ud over at udvide Kerberos-scenariedækningen, retter vi også hårdkodede forekomster af NTLM indbygget i eksisterende Windows-komponenter. Vi flytter disse komponenter til at bruge Negotiate-protokollen, så Kerberos kan bruges i stedet for NTLM. Ved at flytte til Negotiate vil disse tjenester være i stand til at drage fordel af IAKerb og LocalKDC for både lokale og domænekonti.
Microsoft
Et andet vigtigt punkt at overveje er det faktum, at Microsoft udelukkende forbedrer styringen af NTLM-protokoller med det mål i sidste ende at fjerne det fra Windows 11.
Reduktion af brugen af NTLM vil i sidste ende kulminere i, at den bliver deaktiveret i Windows 11. Vi tager en datadrevet tilgang og overvåger reduktioner i NTLM-brug for at bestemme, hvornår det vil være sikkert at deaktivere.
Microsoft
Den Redmond-baserede teknologigigant forberedte sig en kort guide for virksomheder og kunder om, hvordan man reducerer brugen af NTLM-godkendelsesprotokoller.
