Due nuovi metodi di autenticazione sono in arrivo su Windows 11.

Microsoft sta introducendo nuovi metodi di autenticazione per Windows 11, secondo il colosso tecnologico con sede a Redmond ultimo post del blog. I nuovi metodi di autenticazione saranno molto meno dipendenti sulle tecnologie NT LAN Manager (NTLM). e utilizzerà l'affidabilità e la flessibilità delle tecnologie Kerberos.
I 2 nuovi metodi di autenticazione sono:
- Autenticazione iniziale e pass-through utilizzando Kerberos (IAKerb)
- Centro distribuzione chiavi locale (KDC)
Inoltre, il colosso tecnologico con sede a Redmond sta migliorando la funzionalità di controllo e gestione di NTLM, ma non con l’obiettivo di continuare a utilizzarla. L’obiettivo è migliorarlo abbastanza da dare alle organizzazioni la capacità di controllarlo meglio, rimuovendolo così.
Stiamo inoltre introducendo funzionalità migliorate di controllo e gestione di NTLM per offrire alla tua organizzazione maggiori informazioni sull'utilizzo di NTLM e un migliore controllo per rimuoverlo. Il nostro obiettivo finale è eliminare del tutto la necessità di utilizzare NTLM per contribuire a migliorare il livello di sicurezza dell'autenticazione per tutti gli utenti Windows.
Microsoft
Nuovi metodi di autenticazione di Windows 11: tutti i dettagli
Secondo Microsoft, IAKerb verrà utilizzato per consentire ai client di autenticarsi con Kerberos in topologie di rete più diverse. D'altra parte, KDC aggiunge il supporto Kerberos agli account locali.
Il colosso tecnologico con sede a Redmond spiega nel dettaglio come funzionano i 2 nuovi metodi di autenticazione su Windows 11, come potete leggere di seguito.
IAKerb è un'estensione pubblica del protocollo Kerberos standard del settore che consente a un client senza linea di vista su un controller di dominio di autenticarsi tramite un server che dispone di linea di vista. Funziona tramite l'estensione di autenticazione Negotiate e consente allo stack di autenticazione di Windows di inoltrare i messaggi Kerberos tramite il server per conto del client. IAKerb si affida alle garanzie di sicurezza crittografica di Kerberos per proteggere i messaggi in transito attraverso il server per prevenire attacchi di riproduzione o inoltro. Questo tipo di proxy è utile negli ambienti segmentati con firewall o negli scenari di accesso remoto.
Microsoft
Il KDC locale per Kerberos è basato sul Security Account Manager della macchina locale, pertanto l'autenticazione remota degli account utente locali può essere eseguita utilizzando Kerberos. Ciò sfrutta IAKerb per consentire a Windows di passare messaggi Kerberos tra macchine locali remote senza dover aggiungere il supporto per altri servizi aziendali come DNS, netlogon o DCLocator. IAKerb inoltre non richiede l'apertura di nuove porte sulla macchina remota per accettare i messaggi Kerberos.
Microsoft
Il colosso tecnologico con sede a Redmond è deciso a limitare l’utilizzo dei protocolli NTLM e l’azienda ha una soluzione per questo.
Oltre ad espandere la copertura degli scenari Kerberos, stiamo anche correggendo le istanze hardcoded di NTLM integrate nei componenti Windows esistenti. Stiamo spostando questi componenti per utilizzare il protocollo Negotiate in modo che sia possibile utilizzare Kerberos anziché NTLM. Passando a Negotiate, questi servizi potranno sfruttare IAKerb e LocalKDC sia per gli account locali che per quelli di dominio.
Microsoft
Un altro punto importante da considerare è il fatto che Microsoft migliora esclusivamente la gestione dei protocolli NTLM, con l'obiettivo di rimuoverlo definitivamente da Windows 11.
La riduzione dell'uso di NTLM porterà infine alla sua disabilitazione in Windows 11. Stiamo adottando un approccio basato sui dati e monitorando le riduzioni nell'utilizzo di NTLM per determinare quando sarà sicuro disabilitarlo.
Microsoft
Il colosso tecnologico con sede a Redmond si è preparato una breve guida per aziende e clienti su come ridurre l'utilizzo dei protocolli di autenticazione NTLM.