2 שיטות אימות חדשות מגיעות ל-Windows 11.
מיקרוסופט מגיעה עם שיטות אימות חדשות עבור Windows 11, על פי ענקית הטכנולוגיה מרדמונד הפוסט האחרון בבלוג. שיטות האימות החדשות יהיו הרבה פחות תלויות על טכנולוגיות NT LAN Manager (NTLM). וישתמש באמינות ובגמישות של טכנולוגיות Kerberos.
2 שיטות האימות החדשות הן:
- אימות ראשוני ומעבר באמצעות Kerberos (IAKerb)
- מרכז הפצת מפתחות מקומי (KDC)
בנוסף, ענקית הטכנולוגיה מרדמונד משפרת את פונקציונליות הביקורת והניהול של NTLM, אך לא במטרה להמשיך להשתמש בה. המטרה היא לשפר אותו מספיק כדי לתת לארגונים את היכולת לשלוט בו טוב יותר, ובכך להסיר אותו.
אנו גם מציגים פונקציונליות משופרת של ביקורת וניהול NTLM כדי לתת לארגון שלך יותר תובנות לגבי השימוש שלך ב-NTLM ושליטה טובה יותר על הסרתו. המטרה הסופית שלנו היא ביטול הצורך להשתמש ב-NTLM בכלל כדי לעזור לשפר את סרגל האבטחה של האימות עבור כל משתמשי Windows.
מיקרוסופט
שיטות אימות חדשות של Windows 11: כל הפרטים
לפי מיקרוסופט, IAKerb ישמש כדי לאפשר ללקוחות לבצע אימות עם Kerberos בטופולוגיות רשת מגוונות יותר. מצד שני, KDC מוסיפה תמיכת Kerberos לחשבונות מקומיים.
ענקית הטכנולוגיה מרדמונד מסבירה בפירוט כיצד 2 שיטות האימות החדשות עובדות ב-Windows 11, כפי שתוכלו לקרוא להלן.
IAKerb הוא הרחבה ציבורית לפרוטוקול Kerberos הסטנדרטי בתעשייה המאפשר ללקוח ללא קו ראייה לבקר תחום לבצע אימות דרך שרת שיש לו קו ראייה. זה עובד באמצעות סיומת האימות Negotiate ומאפשר למחסנית האימות של Windows לשרת הודעות Kerberos בשרת proxy דרך השרת מטעם הלקוח. IAKerb מסתמך על ערבויות האבטחה ההצפנה של Kerberos כדי להגן על ההודעות במעבר דרך השרת כדי למנוע התקפות חוזרות או ממסר. סוג זה של פרוקסי שימושי בסביבות מפולחות של חומת אש או בתרחישי גישה מרחוק.
מיקרוסופט
ה-KDC המקומי עבור Kerberos בנוי על גבי מנהל חשבון האבטחה של המחשב המקומי, כך שניתן לבצע אימות מרחוק של חשבונות משתמש מקומיים באמצעות Kerberos. זה ממנף את IAKerb כדי לאפשר ל-Windows להעביר הודעות Kerberos בין מחשבים מקומיים מרוחקים מבלי להוסיף תמיכה עבור שירותים ארגוניים אחרים כמו DNS, netlogon או DCLocator. IAKerb גם לא מחייב אותנו לפתוח יציאות חדשות במחשב המרוחק כדי לקבל הודעות Kerberos.
מיקרוסופט
ענקית הטכנולוגיה מרדמונד נוטה להגביל את השימוש בפרוטוקולי NTLM ולחברה יש פתרון לכך. 
בנוסף להרחבת כיסוי התרחישים של Kerberos, אנו מתקנים גם מופעים מקודדים של NTLM המובנים ברכיבי Windows קיימים. אנו מעבירים את הרכיבים האלה לשימוש בפרוטוקול המשא ומתן כך שניתן יהיה להשתמש ב-Kerberos במקום ב-NTLM. על ידי מעבר למשא ומתן, שירותים אלה יוכלו לנצל את IAKerb ו-LocalKDC עבור חשבונות מקומיים וחשבונות דומיין כאחד.
מיקרוסופט
נקודה חשובה נוספת שיש לקחת בחשבון היא העובדה שמיקרוסופט משפרת אך ורק את הניהול של פרוטוקולי NTLM, במטרה בסופו של דבר להסיר אותם מ-Windows 11.
הפחתת השימוש ב-NTLM תסתיים בסופו של דבר בהשבתתו ב-Windows 11. אנו נוקטים בגישה מונעת נתונים ועוקבים אחר הפחתות בשימוש ב-NTLM כדי לקבוע מתי יהיה בטוח להשבית.
מיקרוסופט
ענקית הטכנולוגיה מרדמונד הכינה מדריך קצר לחברות ולקוחות כיצד להפחית את השימוש בפרוטוקולי אימות NTLM.
