W systemie Windows 11 pojawią się 2 nowe metody uwierzytelniania.
Według giganta technologicznego z Redmond Microsoft wprowadza nowe metody uwierzytelniania dla systemu Windows 11 najnowszy wpis na blogu. Nowe metody uwierzytelniania będą znacznie mniej zależne w technologii NT LAN Manager (NTLM). i wykorzysta niezawodność i elastyczność technologii Kerberos.
Dwie nowe metody uwierzytelniania to:
- Uwierzytelnianie początkowe i przekazywane przy użyciu protokołu Kerberos (IAKerb)
- lokalne centrum dystrybucji kluczy (KDC)
Ponadto gigant technologiczny z Redmond ulepsza funkcjonalność audytu i zarządzania NTLM, ale nie po to, aby nadal z niej korzystać. Celem jest ulepszenie go na tyle, aby umożliwić organizacjom lepszą kontrolę nad nim, a tym samym jego usunięcie.
Wprowadzamy także ulepszone funkcje audytu i zarządzania NTLM, aby zapewnić Twojej organizacji lepszy wgląd w wykorzystanie protokołu NTLM i lepszą kontrolę nad jego usuwaniem. Naszym ostatecznym celem jest całkowite wyeliminowanie konieczności używania protokołu NTLM, aby ulepszyć pasek bezpieczeństwa uwierzytelniania dla wszystkich użytkowników systemu Windows.
Microsoftu
Nowe metody uwierzytelniania w systemie Windows 11: wszystkie szczegóły
Według Microsoftu IAKerb będzie używany do umożliwienia klientom uwierzytelniania za pomocą protokołu Kerberos w bardziej zróżnicowanych topologiach sieci. Z drugiej strony KDC dodaje obsługę protokołu Kerberos do kont lokalnych.
Gigant technologiczny z Redmond szczegółowo wyjaśnia, jak działają dwie nowe metody uwierzytelniania w systemie Windows 11, co można przeczytać poniżej.
IAKerb to publiczne rozszerzenie standardowego protokołu Kerberos, które umożliwia klientowi niebędącemu w zasięgu wzroku kontrolera domeny uwierzytelnianie za pośrednictwem serwera, który ma w zasięgu wzroku. Działa to za pośrednictwem rozszerzenia uwierzytelniania Negotiate i umożliwia stosowi uwierzytelniania systemu Windows przesyłanie proxy wiadomości Kerberos przez serwer w imieniu klienta. IAKerb korzysta z gwarancji bezpieczeństwa kryptograficznego protokołu Kerberos w celu ochrony wiadomości przesyłanych przez serwer i zapobiegania atakom polegającym na ponownym odtwarzaniu lub przekazywaniu. Ten typ serwera proxy jest przydatny w środowiskach podzielonych na segmenty zapór sieciowych lub w scenariuszach dostępu zdalnego.
Microsoftu
Lokalne centrum KDC dla protokołu Kerberos jest zbudowane na bazie Menedżera kont zabezpieczeń komputera lokalnego, dzięki czemu można przeprowadzać zdalne uwierzytelnianie lokalnych kont użytkowników przy użyciu protokołu Kerberos. Wykorzystuje to IAKerb, aby umożliwić systemowi Windows przekazywanie komunikatów Kerberos pomiędzy zdalnymi maszynami lokalnymi bez konieczności dodawania obsługi innych usług dla przedsiębiorstw, takich jak DNS, netlogon czy DCLocator. IAKerb nie wymaga również otwierania nowych portów na zdalnej maszynie, aby akceptować wiadomości Kerberos.
Microsoftu
Gigant technologiczny z Redmond dąży do ograniczenia użycia protokołów NTLM i ma na to rozwiązanie. 
Oprócz zwiększania zasięgu scenariuszy protokołu Kerberos, naprawiamy również zakodowane na stałe wystąpienia protokołu NTLM wbudowane w istniejące składniki systemu Windows. Przestawiamy te komponenty tak, aby korzystały z protokołu Negotiate, dzięki czemu można używać protokołu Kerberos zamiast protokołu NTLM. Po przejściu na Negotiate usługi te będą mogły korzystać z IAKerb i LocalKDC zarówno w przypadku kont lokalnych, jak i domenowych.
Microsoftu
Kolejną ważną kwestią do rozważenia jest fakt, że Microsoft jedynie ulepsza zarządzanie protokołami NTLM, mając na celu ostateczne usunięcie go z systemu Windows 11.
Ograniczenie użycia protokołu NTLM ostatecznie zakończy się jego wyłączeniem w systemie Windows 11. Stosujemy podejście oparte na danych i monitorujemy ograniczenia użycia protokołu NTLM, aby określić, kiedy wyłączenie będzie bezpieczne.
Microsoftu
Gigant technologiczny z Redmond przygotował krótki przewodnik dla firm i klientów o tym, jak ograniczyć użycie protokołów uwierzytelniania NTLM.
