2 neue Authentifizierungsmethoden kommen für Windows 11.
Laut dem in Redmond ansässigen Technologieriesen bringt Microsoft neue Authentifizierungsmethoden für Windows 11 auf den Markt Neuester Blogbeitrag. Die neuen Authentifizierungsmethoden werden weit weniger abhängig sein auf NT LAN Manager (NTLM)-Technologien und wird die Zuverlässigkeit und Flexibilität der Kerberos-Technologien nutzen.
Die 2 neuen Authentifizierungsmethoden sind:
- Erst- und Pass-Through-Authentifizierung mit Kerberos (IAKerb)
- lokales Schlüsselverteilungszentrum (KDC)
Darüber hinaus verbessert der in Redmond ansässige Technologieriese die NTLM-Prüfungs- und Verwaltungsfunktionalität, jedoch nicht mit dem Ziel, sie weiterhin zu verwenden. Das Ziel besteht darin, es so weit zu verbessern, dass Organisationen es besser kontrollieren und somit beseitigen können.
Wir führen außerdem verbesserte NTLM-Überwachungs- und Verwaltungsfunktionen ein, um Ihrem Unternehmen mehr Einblick in Ihre NTLM-Nutzung und eine bessere Kontrolle bei der Entfernung zu geben. Unser Endziel besteht darin, die Notwendigkeit, NTLM überhaupt zu verwenden, zu eliminieren, um die Sicherheitsleiste der Authentifizierung für alle Windows-Benutzer zu verbessern.
Microsoft
Neue Authentifizierungsmethoden von Windows 11: Alle Details
Laut Microsoft wird IAKerb verwendet, um Clients die Authentifizierung mit Kerberos in vielfältigeren Netzwerktopologien zu ermöglichen. Andererseits fügt KDC lokalen Konten Kerberos-Unterstützung hinzu.
Der in Redmond ansässige Technologieriese erklärt ausführlich, wie die beiden neuen Authentifizierungsmethoden unter Windows 11 funktionieren, wie Sie unten lesen können.
IAKerb ist eine öffentliche Erweiterung des branchenüblichen Kerberos-Protokolls, die es einem Client ohne Sichtverbindung zu einem Domänencontroller ermöglicht, sich über einen Server zu authentifizieren, der über Sichtverbindung verfügt. Dies funktioniert über die Negotiate-Authentifizierungserweiterung und ermöglicht es dem Windows-Authentifizierungsstapel, Kerberos-Nachrichten im Namen des Clients über den Server weiterzuleiten. IAKerb verlässt sich auf die kryptografischen Sicherheitsgarantien von Kerberos, um die Nachrichten während der Übertragung durch den Server zu schützen und Replay- oder Relay-Angriffe zu verhindern. Diese Art von Proxy ist in Firewall-segmentierten Umgebungen oder Fernzugriffsszenarien nützlich.
Microsoft
Das lokale KDC für Kerberos basiert auf dem Security Account Manager des lokalen Computers, sodass die Remote-Authentifizierung lokaler Benutzerkonten mithilfe von Kerberos erfolgen kann. Dadurch wird IAKerb genutzt, um Windows die Weitergabe von Kerberos-Nachrichten zwischen lokalen Remotecomputern zu ermöglichen, ohne dass Unterstützung für andere Unternehmensdienste wie DNS, Netlogon oder DCLocator hinzugefügt werden muss. IAKerb erfordert auch nicht, dass wir neue Ports auf dem Remote-Computer öffnen, um Kerberos-Nachrichten zu akzeptieren.
Microsoft
Der in Redmond ansässige Technologieriese ist bestrebt, die Nutzung von NTLM-Protokollen einzuschränken, und das Unternehmen hat eine Lösung dafür.
Neben der Erweiterung der Kerberos-Szenarioabdeckung beheben wir auch fest codierte NTLM-Instanzen, die in vorhandene Windows-Komponenten integriert sind. Wir verlagern diese Komponenten auf die Verwendung des Negotiate-Protokolls, sodass Kerberos anstelle von NTLM verwendet werden kann. Durch den Wechsel zu Negotiate können diese Dienste IAKerb und LocalKDC sowohl für lokale als auch für Domänenkonten nutzen.
Microsoft
Ein weiterer wichtiger Punkt, den es zu berücksichtigen gilt, ist die Tatsache, dass Microsoft lediglich die Verwaltung der NTLM-Protokolle verbessert, mit dem Ziel, diese letztendlich aus Windows 11 zu entfernen.
Die Reduzierung der Nutzung von NTLM wird letztendlich dazu führen, dass es in Windows 11 deaktiviert wird. Wir verfolgen einen datengesteuerten Ansatz und überwachen die Reduzierung der NTLM-Nutzung, um festzustellen, wann eine Deaktivierung sicher ist.
Microsoft
Der in Redmond ansässige Technologieriese hat sich vorbereitet eine kurze Anleitung für Unternehmen und Kunden zur Reduzierung der Nutzung von NTLM-Authentifizierungsprotokollen.