Windows 11-sse on tulemas 2 uut autentimismeetodit.
Redmondis asuva tehnoloogiahiiglase sõnul pakub Microsoft Windows 11 jaoks uusi autentimismeetodeid viimane ajaveebi postitus. Uued autentimismeetodid sõltuvad palju vähem NT LAN Manageri (NTLM) tehnoloogiatel ning kasutab Kerberose tehnoloogiate töökindlust ja paindlikkust.
Kaks uut autentimismeetodit on järgmised:
- Esialgne ja läbiv autentimine Kerberose abil (IAKerb)
- kohalik võtmejaotuskeskus (KDC)
Lisaks täiustab Redmondis asuv tehnoloogiahiiglane NTLM-i auditeerimis- ja haldusfunktsioone, kuid mitte eesmärgiga selle kasutamist jätkata. Eesmärk on seda piisavalt täiustada, et anda organisatsioonidele võimalus seda paremini kontrollida ja seega see eemaldada.
Samuti tutvustame täiustatud NTLM-i auditeerimis- ja haldusfunktsioone, et anda teie organisatsioonile parem ülevaade teie NTLM-i kasutamisest ja paremini kontrollida selle eemaldamist. Meie lõppeesmärk on kaotada vajadus NTLM-i üldse kasutada, et aidata parandada kõigi Windowsi kasutajate autentimise turvariba.
Microsoft
Windows 11 uued autentimismeetodid: kõik üksikasjad
Microsofti sõnul kasutatakse IAKerbi selleks, et võimaldada klientidel Kerberosega autentida erinevamates võrgutopoloogiates. Teisest küljest lisab KDC kohalikele kontodele Kerberose toe.
Redmondis asuv tehnoloogiahiiglane selgitab üksikasjalikult, kuidas kaks uut autentimismeetodit Windows 11-s töötavad, nagu saate lugeda allpool.
IAKerb on tööstusstandardi Kerberose protokolli avalik laiendus, mis võimaldab kliendil ilma domeenikontrolleri nähtavuseta autentida serveri kaudu, millel on otsenähtavus. See toimib autentimislaienduse Negotiate kaudu ja võimaldab Windowsi autentimispinul edastada Kerberose sõnumeid kliendi nimel serveri kaudu. IAKerb tugineb serveri kaudu edastatavate sõnumite kaitsmiseks Kerberose krüptograafilistele turvagarantiidele, et vältida kordus- või edastamisrünnakuid. Seda tüüpi puhverserver on kasulik tulemüüriga segmenteeritud keskkondades või kaugjuurdepääsu stsenaariumides.
Microsoft
Kohalik Kerberose KDC on ehitatud kohaliku masina turvakontohalduri peale, nii et kohalike kasutajakontode kaugautentimist saab teha Kerberose abil. See võimendab IAKerbi, et võimaldada Windowsil edastada Kerberose sõnumeid kohalike kaugmasinate vahel, ilma et oleks vaja lisada tuge teistele ettevõtteteenustele, nagu DNS, netlogon või DCLocator. IAKerb ei nõua ka meilt kaugmasinas uute portide avamist Kerberose sõnumite vastuvõtmiseks.
Microsoft
Redmondis asuv tehnoloogiahiiglane on püüdnud piirata NTLM-protokollide kasutamist ja ettevõttel on selle jaoks lahendus. 
Lisaks Kerberose stsenaariumi ulatuse laiendamisele parandame ka olemasolevatesse Windowsi komponentidesse sisseehitatud kõvakodeeritud NTLM-i eksemplare. Me viime need komponendid kasutama läbirääkimiste protokolli, et NTLM-i asemel saaks kasutada Kerberost. Negotiate'i liikudes saavad need teenused IAKerbi ja LocalKDC eeliseid kasutada nii kohalike kui ka domeenikontode jaoks.
Microsoft
Veel üks oluline punkt, mida tuleb arvesse võtta, on asjaolu, et Microsoft parandab ainult NTLM-protokollide haldamist, eesmärgiga see lõpuks Windows 11-st eemaldada.
NTLM-i kasutamise vähendamine lõpeb lõpuks selle keelamisega Windows 11-s. Kasutame andmepõhist lähenemisviisi ja jälgime NTLM-i kasutamise vähenemist, et teha kindlaks, millal on selle keelamine ohutu.
Microsoft
Redmondis asuv tehnoloogiahiiglane valmistas ette lühike juhend ettevõtetele ja klientidele, kuidas vähendada NTLM-i autentimisprotokollide kasutamist.
