2 nuevos métodos de autenticación llegarán a Windows 11.
Microsoft viene con nuevos métodos de autenticación para Windows 11, según el gigante tecnológico con sede en Redmond última publicación del blog. Los nuevos métodos de autenticación serán mucho menos dependientes sobre tecnologías NT LAN Manager (NTLM) y utilizará la confiabilidad y flexibilidad de las tecnologías Kerberos.
Los 2 nuevos métodos de autenticación son:
- Autenticación inicial y de paso mediante Kerberos (IAKerb)
- Centro de distribución de claves local (KDC)
Además, el gigante tecnológico con sede en Redmond está mejorando la funcionalidad de gestión y auditoría de NTLM, pero no con el objetivo de seguir utilizándola. El objetivo es mejorarlo lo suficiente como para que las organizaciones puedan controlarlo mejor y eliminarlo.
También estamos introduciendo una funcionalidad mejorada de auditoría y administración de NTLM para brindarle a su organización más información sobre su uso de NTLM y un mejor control para eliminarlo. Nuestro objetivo final es eliminar la necesidad de utilizar NTLM para ayudar a mejorar la barra de seguridad de autenticación para todos los usuarios de Windows.
microsoft
Nuevos métodos de autenticación de Windows 11: Todos los detalles
Según Microsoft, IAKerb se utilizará para permitir a los clientes autenticarse con Kerberos en topologías de red más diversas. Por otro lado, KDC añade soporte Kerberos a las cuentas locales.
El gigante tecnológico con sede en Redmond explica en detalle cómo funcionan los 2 nuevos métodos de autenticación en Windows 11, como puede leer a continuación.
IAKerb es una extensión pública del protocolo Kerberos estándar de la industria que permite a un cliente sin línea de visión con un controlador de dominio autenticarse a través de un servidor que sí tiene línea de visión. Esto funciona a través de la extensión de autenticación Negotiate y permite que la pila de autenticación de Windows envíe mensajes Kerberos a través del servidor en nombre del cliente. IAKerb confía en las garantías de seguridad criptográfica de Kerberos para proteger los mensajes en tránsito a través del servidor para evitar ataques de repetición o retransmisión. Este tipo de proxy es útil en entornos segmentados por firewall o escenarios de acceso remoto.
microsoft
El KDC local para Kerberos se construye sobre el Administrador de cuentas de seguridad de la máquina local, por lo que se puede realizar la autenticación remota de las cuentas de usuarios locales mediante Kerberos. Esto aprovecha IAKerb para permitir que Windows pase mensajes Kerberos entre máquinas locales remotas sin tener que agregar soporte para otros servicios empresariales como DNS, netlogon o DCLocator. IAKerb tampoco requiere que abramos nuevos puertos en la máquina remota para aceptar mensajes Kerberos.
microsoft
El gigante tecnológico con sede en Redmond está empeñado en limitar el uso de protocolos NTLM y la empresa tiene una solución para ello. 
Además de ampliar la cobertura de escenarios de Kerberos, también estamos arreglando instancias codificadas de NTLM integradas en componentes existentes de Windows. Estamos cambiando estos componentes para que utilicen el protocolo Negotiate para que se pueda utilizar Kerberos en lugar de NTLM. Al pasar a Negotiate, estos servicios podrán aprovechar IAKerb y LocalKDC tanto para cuentas locales como de dominio.
microsoft
Otro punto importante a considerar es el hecho de que Microsoft únicamente mejora la gestión de los protocolos NTLM, con el objetivo de eliminarlo finalmente de Windows 11.
Reducir el uso de NTLM culminará en última instancia con su desactivación en Windows 11. Estamos adoptando un enfoque basado en datos y monitoreando las reducciones en el uso de NTLM para determinar cuándo será seguro desactivarlo.
microsoft
El gigante tecnológico con sede en Redmond se preparó una breve guía para empresas y clientes sobre cómo reducir el uso de protocolos de autenticación NTLM.
