Operētājsistēmā Windows 11 ir pieejamas 2 jaunas autentifikācijas metodes.
Saskaņā ar Redmondā bāzētā tehnoloģiju giganta datiem Microsoft nāk klajā ar jaunām autentifikācijas metodēm operētājsistēmai Windows 11 jaunākais emuāra ieraksts. Jaunās autentifikācijas metodes būs daudz mazāk atkarīgas uz NT LAN Manager (NTLM) tehnoloģijām un izmantos Kerberos tehnoloģiju uzticamību un elastību.
Divas jaunas autentifikācijas metodes ir:
- Sākotnējā un caurlaides autentifikācija, izmantojot Kerberos (IAKerb)
- vietējais atslēgu izplatīšanas centrs (KDC)
Turklāt Redmondā bāzētais tehnoloģiju gigants uzlabo NTLM audita un pārvaldības funkcionalitāti, taču ne ar mērķi turpināt to izmantot. Mērķis ir to pietiekami uzlabot, lai organizācijas varētu to labāk kontrolēt, tādējādi novēršot to.
Mēs arī ieviešam uzlabotu NTLM auditēšanas un pārvaldības funkcionalitāti, lai sniegtu jūsu organizācijai plašāku ieskatu par jūsu NTLM lietojumu un labāku kontroli pār tā noņemšanu. Mūsu galvenais mērķis ir novērst vajadzību izmantot NTLM vispār, lai palīdzētu uzlabot autentifikācijas drošības joslu visiem Windows lietotājiem.
Microsoft
Windows 11 jaunas autentifikācijas metodes: visa informācija
Saskaņā ar Microsoft teikto, IAKerb tiks izmantots, lai ļautu klientiem autentificēties ar Kerberos daudzveidīgākās tīkla topoloģijās. No otras puses, KDC pievieno Kerberos atbalstu vietējiem kontiem.
Redmondā bāzētais tehnoloģiju gigants detalizēti izskaidro, kā 2 jaunās autentifikācijas metodes darbojas operētājsistēmā Windows 11, kā jūs varat lasīt tālāk.
IAKerb ir nozares standarta Kerberos protokola publisks paplašinājums, kas ļauj klientam bez redzamības līdz domēna kontrollerim autentificēties, izmantojot serveri, kuram ir redzamība. Tas darbojas, izmantojot Negotiate autentifikācijas paplašinājumu, un ļauj Windows autentifikācijas stekam klienta vārdā nosūtīt starpniekserveri Kerberos ziņojumus caur serveri. IAKerb paļaujas uz Kerberos kriptogrāfiskās drošības garantijām, lai aizsargātu ziņojumus, kas tiek sūtīti caur serveri, lai novērstu atkārtotu atskaņošanu vai pārsūtīšanas uzbrukumus. Šis starpniekservera veids ir noderīgs ugunsmūra segmentētās vidēs vai attālās piekļuves scenārijos.
Microsoft
Vietējais Kerberos KDC ir izveidots, izmantojot vietējās mašīnas drošības kontu pārvaldnieku, tāpēc vietējo lietotāju kontu attālo autentifikāciju var veikt, izmantojot Kerberos. Tas izmanto IAKerb, lai Windows varētu nodot Kerberos ziņojumus starp attālām lokālajām mašīnām, nepievienojot atbalstu citiem uzņēmuma pakalpojumiem, piemēram, DNS, netlogon vai DCLocator. IAKerb arī neprasa, lai mēs atvērtu jaunus portus attālajā datorā, lai pieņemtu Kerberos ziņojumus.
Microsoft
Redmondā bāzētais tehnoloģiju gigants ir nolēmis ierobežot NTLM protokolu izmantošanu, un uzņēmumam ir risinājums. 
Papildus Kerberos scenārija pārklājuma paplašināšanai mēs arī labojam esošajos Windows komponentos iebūvētās cietā kodētās NTLM gadījumus. Mēs mainām šos komponentus, lai izmantotu Negotiate protokolu, lai NTLM vietā varētu izmantot Kerberos. Pārejot uz Negotiate, šie pakalpojumi varēs izmantot IAKerb un LocalKDC priekšrocības gan vietējiem, gan domēna kontiem.
Microsoft
Vēl viens svarīgs aspekts, kas jāņem vērā, ir fakts, ka Microsoft uzlabo tikai NTLM protokolu pārvaldību, lai galu galā tos noņemtu no Windows 11.
NTLM izmantošanas samazināšana galu galā novedīs pie tā atspējošanas operētājsistēmā Windows 11. Mēs izmantojam uz datiem balstītu pieeju un uzraugām NTLM lietojuma samazinājumu, lai noteiktu, kad to būs droši atspējot.
Microsoft
Redmondā bāzētais tehnoloģiju gigants sagatavoja īss ceļvedis uzņēmumiem un klientiem par to, kā samazināt NTLM autentifikācijas protokolu izmantošanu.
