2 uutta todennusmenetelmää on tulossa Windows 11:een.
Microsoft on tuomassa uusia todennusmenetelmiä Windows 11:lle Redmondissa toimivan teknologiajätin mukaan uusin blogikirjoitus. Uudet todennusmenetelmät ovat paljon vähemmän riippuvaisia NT LAN Manager (NTLM) -tekniikoissa ja käyttää Kerberos-tekniikoiden luotettavuutta ja joustavuutta.
Kaksi uutta todennusmenetelmää ovat:
- Alkuperäinen ja läpimenotunnistus Kerberosilla (IAKerb)
- paikallinen avainten jakelukeskus (KDC)
Lisäksi Redmondissa toimiva teknologiajätti parantaa NTLM: n auditointi- ja hallintatoimintoja, mutta ei tarkoituksenaan jatkaa sen käyttöä. Tavoitteena on parantaa sitä tarpeeksi, jotta organisaatiot pystyvät hallitsemaan sitä paremmin ja siten poistamaan sen.
Esittelemme myös parannettuja NTLM-tarkastus- ja hallintatoimintoja, jotka antavat organisaatiollesi paremman käsityksen NTLM: n käytöstäsi ja paremman hallinnan sen poistamiseen. Tavoitteemme on poistaa NTLM: n käyttö ollenkaan, jotta voimme parantaa kaikkien Windows-käyttäjien todennuksen suojauspalkkia.
Microsoft
Windows 11:n uudet todennustavat: Kaikki yksityiskohdat
Microsoftin mukaan IAKerbia käytetään, jotta asiakkaat voivat todentaa Kerberosin avulla monipuolisemmissa verkkotopologioissa. Toisaalta KDC lisää Kerberos-tuen paikallisiin tileihin.
Redmondissa toimiva teknologiajätti selittää yksityiskohtaisesti, kuinka kaksi uutta todennusmenetelmää toimivat Windows 11:ssä, kuten voit lukea alla.
IAKerb on alan standardin Kerberos-protokollan julkinen laajennus, jonka avulla asiakas ilman näköyhteyttä verkkotunnuksen ohjaimeen voi todentaa palvelimen kautta, jolla on näköyhteys. Tämä toimii Negotiate-todennuslaajennuksen kautta ja sallii Windowsin todennuspinon välittää Kerberos-viestejä palvelimen kautta asiakkaan puolesta. IAKerb luottaa Kerberosin salausturvatakuisiin suojellakseen palvelimen kautta kulkevia viestejä estääkseen uudelleentoiston tai välityshyökkäykset. Tämän tyyppinen välityspalvelin on hyödyllinen palomuurin segmentoiduissa ympäristöissä tai etäkäyttöskenaarioissa.
Microsoft
Paikallinen Kerberosin KDC on rakennettu paikallisen koneen suojaustilien hallinnan päälle, joten paikallisten käyttäjätilien etätodennus voidaan tehdä Kerberosilla. Tämä hyödyntää IAKerbia sallien Windowsin välittää Kerberos-viestejä paikallisten etäkoneiden välillä tarvitsematta lisätä tukea muille yrityspalveluille, kuten DNS, netlogon tai DCLocator. IAKerb ei myöskään vaadi meitä avaamaan uusia portteja etäkoneeseen Kerberos-viestien hyväksymiseksi.
Microsoft
Redmondissa toimiva teknologiajätti on taipuvainen rajoittamaan NTLM-protokollien käyttöä, ja yhtiöllä on siihen ratkaisu. 
Kerberos-skenaarioiden kattavuuden laajentamisen lisäksi korjaamme myös olemassa oleviin Windows-komponentteihin sisäänrakennettuja kovakoodattuja NTLM-esiintymiä. Siirrämme nämä komponentit käyttämään Negotiate-protokollaa, jotta Kerberosta voidaan käyttää NTLM: n sijaan. Negotiateen siirtymällä nämä palvelut voivat hyödyntää IAKerbia ja LocalKDC: tä sekä paikallisissa että verkkotunnuksen tileissä.
Microsoft
Toinen tärkeä huomioitava seikka on se, että Microsoft parantaa yksinomaan NTLM-protokollien hallintaa tavoitteenaan lopulta poistaa se Windows 11:stä.
NTLM: n käytön vähentäminen huipentuu lopulta sen poistamiseen käytöstä Windows 11:ssä. Käytämme datalähtöistä lähestymistapaa ja seuraamme NTLM: n käytön vähenemistä määrittääksemme, milloin se on turvallista poistaa käytöstä.
Microsoft
Redmondissa toimiva teknologiajätti valmisteli lyhyt opas yrityksille ja asiakkaille kuinka vähentää NTLM-todennusprotokollien käyttöä.
