Windows 11-ში ავთენტიფიკაციის 2 ახალი მეთოდი მოდის.
რედმონდში დაფუძნებული ტექნოლოგიური გიგანტის თანახმად, Microsoft-ი Windows 11-ისთვის ავთენტიფიკაციის ახალი მეთოდებით მოდის. ბოლო ბლოგის პოსტი. ავთენტიფიკაციის ახალი მეთოდები გაცილებით ნაკლებად იქნება დამოკიდებული NT LAN მენეჯერის (NTLM) ტექნოლოგიებზე და გამოიყენებს Kerberos ტექნოლოგიების საიმედოობასა და მოქნილობას.
ავთენტიფიკაციის ორი ახალი მეთოდია:
- საწყისი და გადასასვლელი ავთენტიფიკაცია Kerberos-ის გამოყენებით (IAKerb)
- გასაღების ადგილობრივი სადისტრიბუციო ცენტრი (KDC)
გარდა ამისა, რედმონდზე დაფუძნებული ტექნიკური გიგანტი აუმჯობესებს NTLM აუდიტისა და მენეჯმენტის ფუნქციებს, მაგრამ არა იმ მიზნით, რომ გააგრძელოს მისი გამოყენება. მიზანია საკმარისად გააუმჯობესოს ის, რომ ორგანიზაციებს მისცეს უნარი გააკონტროლონ ის უკეთესად და ამით მოიხსნას იგი.
ჩვენ ასევე შემოგთავაზებთ გაუმჯობესებულ NTLM აუდიტისა და მენეჯმენტის ფუნქციონირებას, რათა თქვენს ორგანიზაციას მივცეთ მეტი ინფორმაცია თქვენი NTLM გამოყენების შესახებ და უკეთესი კონტროლი მისი ამოღების შესახებ. ჩვენი საბოლოო მიზანია აღმოვფხვრათ NTLM-ის გამოყენების აუცილებლობა, რათა დაეხმაროს Windows-ის ყველა მომხმარებლის ავტორიზაციის უსაფრთხოების ზოლის გაუმჯობესებას.
მაიკროსოფტი
Windows 11 ავთენტიფიკაციის ახალი მეთოდები: ყველა დეტალი
Microsoft-ის თქმით, IAKerb გამოყენებული იქნება კლიენტებისთვის Kerberos-ით ავთენტიფიკაციისთვის უფრო მრავალფეროვან ქსელურ ტოპოლოგიაში. მეორეს მხრივ, KDC ამატებს Kerberos მხარდაჭერას ადგილობრივ ანგარიშებზე.
რედმონდზე დაფუძნებული ტექნიკური გიგანტი დეტალურად განმარტავს, თუ როგორ მუშაობს ავთენტიფიკაციის 2 ახალი მეთოდი Windows 11-ზე, როგორც ქვემოთ შეგიძლიათ წაიკითხოთ.
IAKerb არის Kerberos-ის ინდუსტრიის სტანდარტის პროტოკოლის საჯარო გაფართოება, რომელიც საშუალებას აძლევს კლიენტს დომენის კონტროლერთან მხედველობის ხაზის გარეშე ავთენტიფიკაცია მოახდინოს სერვერის მეშვეობით, რომელსაც აქვს მხედველობის ხაზი. ეს მუშაობს Negotiate ავთენტიფიკაციის გაფართოების მეშვეობით და საშუალებას აძლევს Windows-ის ავტორიზაციის დასტას კლიენტის სახელით სერვერის მეშვეობით მოახდინოს Kerberos შეტყობინებების პროქსი. IAKerb ეყრდნობა Kerberos-ის კრიპტოგრაფიულ უსაფრთხოების გარანტიებს სერვერის მეშვეობით ტრანზიტული შეტყობინებების დასაცავად, რათა თავიდან აიცილოს განმეორებითი ან გადაცემის შეტევები. ამ ტიპის პროქსი გამოსადეგია firewall სეგმენტირებული გარემოში ან დისტანციური წვდომის სცენარებში.
მაიკროსოფტი
ადგილობრივი KDC Kerberos-ისთვის აგებულია ადგილობრივი აპარატის უსაფრთხოების ანგარიშების მენეჯერის თავზე, ამიტომ ადგილობრივი მომხმარებლის ანგარიშების დისტანციური ავთენტიფიკაცია შეიძლება განხორციელდეს Kerberos-ის გამოყენებით. ეს ახმარს IAKerb-ს, რათა Windows-ს გადასცეს Kerberos შეტყობინებები დისტანციურ ლოკალურ მანქანებს შორის სხვა საწარმო სერვისების მხარდაჭერის დამატების გარეშე, როგორიცაა DNS, netlogon ან DCLocator. IAKerb ასევე არ მოითხოვს ჩვენგან დისტანციურ მანქანაზე ახალი პორტების გახსნას Kerberos შეტყობინებების მისაღებად.
მაიკროსოფტი
რედმონდზე დაფუძნებული ტექნიკური გიგანტი მიდრეკილია შეზღუდოს NTLM პროტოკოლების გამოყენება და კომპანიას აქვს გამოსავალი ამისთვის. 
გარდა Kerberos-ის სცენარის დაფარვის გაფართოებისა, ჩვენ ასევე ვაფიქსირებთ Windows-ის არსებულ კომპონენტებში ჩაშენებული NTLM-ის მყარი კოდირებულ მაგალითებს. ჩვენ ვცვლით ამ კომპონენტებს მოლაპარაკების პროტოკოლის გამოსაყენებლად, რათა Kerberos იყოს გამოყენებული NTLM-ის ნაცვლად. Negotiate-ზე გადასვლით, ამ სერვისებს შეეძლებათ ისარგებლონ IAKerb და LocalKDC-ით, როგორც ლოკალური, ასევე დომენის ანგარიშებისთვის.
მაიკროსოფტი
გასათვალისწინებელი კიდევ ერთი მნიშვნელოვანი პუნქტია ის ფაქტი, რომ Microsoft მხოლოდ აუმჯობესებს NTLM პროტოკოლების მენეჯმენტს, მისი საბოლოო ამოღების მიზნით Windows 11-დან.
NTLM-ის გამოყენების შემცირება საბოლოოდ გამოიწვევს Windows 11-ში მის გამორთვას. ჩვენ ვიყენებთ მონაცემებზე ორიენტირებულ მიდგომას და ვაკვირდებით NTLM-ის გამოყენების შემცირებას იმის დასადგენად, თუ როდის იქნება უსაფრთხო გამორთვა.
მაიკროსოფტი
რედმონდზე დაფუძნებული ტექნიკური გიგანტი მოამზადა მოკლე სახელმძღვანელო კომპანიებისა და მომხმარებლებისთვის, თუ როგორ შეამცირონ NTLM ავთენტიფიკაციის პროტოკოლების გამოყენება.
