2 nye autentiseringsmetoder kommer til Windows 11.
Microsoft kommer med nye autentiseringsmetoder for Windows 11, ifølge den Redmond-baserte teknologigigantens siste blogginnlegg. De nye autentiseringsmetodene vil være langt mindre avhengige på NT LAN Manager (NTLM) teknologier og vil bruke påliteligheten og fleksibiliteten til Kerberos-teknologier.
De 2 nye autentiseringsmetodene er:
- Initial- og Pass-Through-autentisering ved hjelp av Kerberos (IAKerb)
- lokalt nøkkeldistribusjonssenter (KDC)
I tillegg forbedrer den Redmond-baserte teknologigiganten NTLMs revisjons- og administrasjonsfunksjonalitet, men ikke med mål om å fortsette å bruke den. Målet er å forbedre det nok til å gi organisasjoner muligheten til å kontrollere det bedre, og dermed fjerne det.
Vi introduserer også forbedret NTLM-revisjons- og administrasjonsfunksjonalitet for å gi organisasjonen din mer innsikt i NTLM-bruken din og bedre kontroll for å fjerne den. Sluttmålet vårt er å eliminere behovet for å bruke NTLM i det hele tatt for å forbedre sikkerhetslinjen for autentisering for alle Windows-brukere.
Microsoft
Windows 11 nye autentiseringsmetoder: Alle detaljene
I følge Microsoft vil IAKerb bli brukt for å tillate klienter å autentisere med Kerberos i mer forskjellige nettverkstopologier. På den annen side legger KDC til Kerberos-støtte til lokale kontoer.
Den Redmond-baserte teknologigiganten forklarer i detalj hvordan de 2 nye autentiseringsmetodene fungerer på Windows 11, som du kan lese nedenfor.
IAKerb er en offentlig utvidelse av industristandarden Kerberos-protokollen som lar en klient uten siktlinje til en domenekontroller autentisere gjennom en server som har siktlinje. Dette fungerer gjennom Negotiate-autentiseringsutvidelsen og lar Windows-autentiseringsstakken proxy Kerberos-meldinger gjennom serveren på vegne av klienten. IAKerb er avhengig av de kryptografiske sikkerhetsgarantiene til Kerberos for å beskytte meldingene som sendes gjennom serveren for å forhindre replay eller reléangrep. Denne typen proxy er nyttig i segmenterte brannmurmiljøer eller fjerntilgangsscenarier.
Microsoft
Den lokale KDC for Kerberos er bygget på toppen av den lokale maskinens sikkerhetskontoadministrator, slik at ekstern autentisering av lokale brukerkontoer kan gjøres ved hjelp av Kerberos. Dette utnytter IAKerb for å tillate Windows å sende Kerberos-meldinger mellom eksterne lokale maskiner uten å måtte legge til støtte for andre bedriftstjenester som DNS, netlogon eller DCLocator. IAKerb krever heller ikke at vi åpner nye porter på den eksterne maskinen for å godta Kerberos-meldinger.
Microsoft
Den Redmond-baserte teknologigiganten er opptatt av å begrense bruken av NTLM-protokoller, og selskapet har en løsning for det. 
I tillegg til å utvide Kerberos-scenariodekningen, fikser vi også hardkodede forekomster av NTLM innebygd i eksisterende Windows-komponenter. Vi skifter disse komponentene til å bruke Negotiate-protokollen slik at Kerberos kan brukes i stedet for NTLM. Ved å flytte til Negotiate vil disse tjenestene kunne dra nytte av IAKerb og LocalKDC for både lokale og domenekontoer.
Microsoft
Et annet viktig poeng å vurdere er det faktum at Microsoft utelukkende forbedrer administrasjonen av NTLM-protokoller, med mål om til slutt å fjerne den fra Windows 11.
Å redusere bruken av NTLM vil til slutt kulminere med at den blir deaktivert i Windows 11. Vi tar en datadrevet tilnærming og overvåker reduksjoner i NTLM-bruk for å avgjøre når det vil være trygt å deaktivere.
Microsoft
Den Redmond-baserte teknologigiganten forberedte seg en kort guide for bedrifter og kunder om hvordan man kan redusere bruken av NTLM-autentiseringsprotokoller.
