Er komen twee nieuwe authenticatiemethoden naar Windows 11.
Microsoft komt met nieuwe authenticatiemethoden voor Windows 11, aldus de in Redmond gevestigde technologiegigant laatste blogpost. De nieuwe authenticatiemethoden zullen veel minder afhankelijk zijn op NT LAN Manager (NTLM)-technologieën en zal gebruik maken van de betrouwbaarheid en flexibiliteit van Kerberos-technologieën.
De 2 nieuwe authenticatiemethoden zijn:
- Initiële en pass-through-authenticatie met Kerberos (IAKerb)
- lokaal Sleuteldistributiecentrum (KDC)
Bovendien verbetert de in Redmond gevestigde technologiegigant de NTLM-audit- en beheerfunctionaliteit, maar niet met de bedoeling deze te blijven gebruiken. Het doel is om het voldoende te verbeteren zodat organisaties het beter kunnen controleren en het dus kunnen verwijderen.
We introduceren ook verbeterde NTLM-audit- en beheerfunctionaliteit om uw organisatie meer inzicht te geven in uw NTLM-gebruik en betere controle over het verwijderen ervan. Ons einddoel is het elimineren van de noodzaak om NTLM te gebruiken om de beveiligingsbalk van authenticatie voor alle Windows-gebruikers te helpen verbeteren.
Microsoft
Windows 11 nieuwe authenticatiemethoden: alle details
Volgens Microsoft zal IAKerb worden gebruikt om clients in staat te stellen zich te authenticeren met Kerberos in meer diverse netwerktopologieën. Aan de andere kant voegt KDC Kerberos-ondersteuning toe aan lokale accounts.
De uit Redmond afkomstige techgigant legt uitgebreid uit hoe de 2 nieuwe authenticatiemethoden werken op Windows 11, zoals je hieronder kunt lezen.
IAKerb is een openbare uitbreiding op het industriestandaard Kerberos-protocol waarmee een client zonder zichtlijn met een domeincontroller zich kan authenticeren via een server die wel zichtlijn heeft. Dit werkt via de Negotiate-authenticatie-extensie en zorgt ervoor dat de Windows-authenticatiestack namens de client Kerberos-berichten via de server kan proxyen. IAKerb vertrouwt op de cryptografische veiligheidsgaranties van Kerberos om de berichten die via de server worden verzonden te beschermen en herhalings- of relay-aanvallen te voorkomen. Dit type proxy is handig in gesegmenteerde firewall-omgevingen of scenario's voor externe toegang.
Microsoft
De lokale KDC voor Kerberos is gebouwd bovenop de Security Account Manager van de lokale machine, zodat externe authenticatie van lokale gebruikersaccounts kan worden uitgevoerd met behulp van Kerberos. Dit maakt gebruik van IAKerb om Windows in staat te stellen Kerberos-berichten door te geven tussen externe lokale machines zonder dat er ondersteuning hoeft te worden toegevoegd voor andere bedrijfsservices zoals DNS, netlogon of DCLocator. IAKerb vereist ook niet dat we nieuwe poorten op de externe machine openen om Kerberos-berichten te accepteren.
Microsoft
De in Redmond gevestigde technologiegigant wil het gebruik van NTLM-protocollen beperken en het bedrijf heeft daar een oplossing voor. 
Naast het uitbreiden van de dekking van Kerberos-scenario's, repareren we ook hardgecodeerde exemplaren van NTLM die in bestaande Windows-componenten zijn ingebouwd. We verschuiven deze componenten zodat ze het Negotiate-protocol kunnen gebruiken, zodat Kerberos kan worden gebruikt in plaats van NTLM. Door over te stappen op Negotiate kunnen deze services profiteren van IAKerb en LocalKDC voor zowel lokale als domeinaccounts.
Microsoft
Een ander belangrijk punt om te overwegen is het feit dat Microsoft uitsluitend het beheer van NTLM-protocollen verbetert, met als doel deze uiteindelijk uit Windows 11 te verwijderen.
Het terugdringen van het gebruik van NTLM zal er uiteindelijk toe leiden dat het wordt uitgeschakeld in Windows 11. We hanteren een datagestuurde aanpak en houden toezicht op de vermindering van het NTLM-gebruik om te bepalen wanneer het veilig is om deze uit te schakelen.
Microsoft
De in Redmond gevestigde technologiegigant heeft zich voorbereid een korte handleiding voor bedrijven en klanten over hoe ze het gebruik van NTLM-authenticatieprotocollen kunnen verminderen.
