2 nove metode provjere autentičnosti stižu u Windows 11.
Microsoft dolazi s novim metodama provjere autentičnosti za Windows 11, prema tehnološkom divu iz Redmonda najnoviji post na blogu. Nove metode provjere autentičnosti bit će daleko manje ovisne na tehnologijama NT LAN Manager (NTLM). te će koristiti pouzdanost i fleksibilnost Kerberos tehnologija.
Dvije nove metode provjere autentičnosti su:
- Inicijalna i prolazna autentifikacija pomoću Kerberosa (IAKerb)
- lokalni centar za distribuciju ključeva (KDC)
Osim toga, tehnološki div sa sjedištem u Redmondu poboljšava NTLM reviziju i funkcionalnost upravljanja, ali ne s ciljem da ga nastavi koristiti. Cilj je poboljšati ga dovoljno da se organizacijama omogući bolja kontrola, čime će se ukloniti.
Također predstavljamo poboljšanu funkciju revizije i upravljanja NTLM-om kako bismo vašoj organizaciji dali bolji uvid u vašu upotrebu NTLM-a i bolju kontrolu za njegovo uklanjanje. Naš je krajnji cilj eliminirati potrebu za korištenjem NTLM-a uopće kako bismo poboljšali sigurnosnu traku provjere autentičnosti za sve korisnike sustava Windows.
Microsoft
Windows 11 nove metode provjere autentičnosti: svi detalji
Prema Microsoftu, IAKerb će se koristiti kako bi klijentima omogućio autentifikaciju s Kerberosom u raznolikijim mrežnim topologijama. S druge strane, KDC lokalnim računima dodaje podršku za Kerberos.
Tehnički div sa sjedištem u Redmondu detaljno objašnjava kako 2 nove metode provjere autentičnosti rade na Windows 11, kao što možete pročitati u nastavku.
IAKerb je javno proširenje industrijskog standardnog Kerberos protokola koji omogućuje klijentu bez linije vidljivosti do kontrolera domene autentifikaciju putem poslužitelja koji ima liniju vidljivosti. Ovo funkcionira kroz proširenje za provjeru autentičnosti Negotiate i omogućuje skupu za provjeru autentičnosti sustava Windows proxy Kerberos poruke kroz poslužitelj u ime klijenta. IAKerb se oslanja na kriptografska sigurnosna jamstva Kerberosa za zaštitu poruka u tranzitu kroz poslužitelj kako bi se spriječili napadi ponavljanja ili prijenosa. Ova vrsta proxyja korisna je u okruženjima segmentiranim vatrozidom ili scenarijima daljinskog pristupa.
Microsoft
Lokalni KDC za Kerberos izgrađen je na temelju upravitelja sigurnosnih računa lokalnog računala tako da se daljinska provjera autentičnosti lokalnih korisničkih računa može izvršiti pomoću Kerberosa. Ovo iskorištava IAKerb kako bi omogućio Windowsu da proslijedi Kerberos poruke između udaljenih lokalnih računala bez potrebe za dodavanjem podrške za druge poslovne usluge kao što su DNS, netlogon ili DCLocator. IAKerb također ne zahtijeva da otvorimo nove portove na udaljenom računalu za prihvaćanje Kerberos poruka.
Microsoft
Tehnološki div sa sjedištem u Redmondu želi ograničiti upotrebu NTLM protokola i tvrtka ima rješenje za to. 
Uz proširenje pokrivenosti Kerberos scenarija, također popravljamo tvrdo kodirane instance NTLM-a ugrađene u postojeće Windows komponente. Prebacujemo te komponente na korištenje protokola Negotiate kako bi se Kerberos mogao koristiti umjesto NTLM-a. Prelaskom na Negotiate, ove će usluge moći iskoristiti IAKerb i LocalKDC za lokalne račune i račune domene.
Microsoft
Još jedna važna točka koju treba uzeti u obzir je činjenica da Microsoft isključivo poboljšava upravljanje NTLM protokolima, s ciljem da ga u konačnici ukloni iz Windowsa 11.
Smanjenje upotrebe NTLM-a u konačnici će kulminirati njegovim onemogućavanjem u sustavu Windows 11. Koristimo pristup koji se temelji na podacima i pratimo smanjenja upotrebe NTLM-a kako bismo odredili kada će ga biti sigurno onemogućiti.
Microsoft
Tehnološki div sa sjedištem u Redmondu pripremio se kratki vodič za tvrtke i kupce o tome kako smanjiti upotrebu NTLM protokola za provjeru autentičnosti.
