2 noi metode de autentificare vin în Windows 11.
Microsoft vine cu noi metode de autentificare pentru Windows 11, potrivit gigantului tehnologic din Redmond. cea mai recentă postare pe blog. Noile metode de autentificare vor fi mult mai puțin dependente pe tehnologiile NT LAN Manager (NTLM). și va folosi fiabilitatea și flexibilitatea tehnologiilor Kerberos.
Cele 2 noi metode de autentificare sunt:
- Autentificare inițială și directă folosind Kerberos (IAKerb)
- Centrul local de distribuție a cheilor (KDC)
În plus, gigantul tehnologic din Redmond îmbunătățește funcționalitatea de audit și management NTLM, dar nu cu scopul de a continua să o folosească. Ținta este să-l îmbunătățească suficient pentru a oferi organizațiilor capacitatea de a-l controla mai bine, eliminându-l astfel.
De asemenea, introducem o funcționalitate îmbunătățită de audit și management NTLM pentru a oferi organizației dumneavoastră mai multe informații despre utilizarea NTLM și un control mai bun pentru eliminarea acestuia. Scopul nostru final este eliminarea nevoii de a utiliza NTLM pentru a ajuta la îmbunătățirea barei de securitate a autentificărilor pentru toți utilizatorii Windows.
Microsoft
Noi metode de autentificare Windows 11: Toate detaliile
Potrivit Microsoft, IAKerb va fi folosit pentru a permite clienților să se autentifice cu Kerberos în topologii de rețea mai diverse. Pe de altă parte, KDC adaugă suport Kerberos la conturile locale.
Gigantul tehnologic din Redmond explică în detaliu cum funcționează cele 2 noi metode de autentificare pe Windows 11, după cum puteți citi mai jos.
IAKerb este o extensie publică a protocolului Kerberos standard din industrie, care permite unui client fără linie de vedere la un controler de domeniu să se autentifice printr-un server care are linie de vedere. Aceasta funcționează prin extensia de autentificare Negotiate și permite stivei de autentificare Windows să trimită mesajele Kerberos prin server în numele clientului. IAKerb se bazează pe garanțiile de securitate criptografică ale Kerberos pentru a proteja mesajele în tranzit prin server pentru a preveni reluarea sau retransmiterea atacurilor. Acest tip de proxy este util în mediile segmentate de firewall sau în scenariile de acces la distanță.
Microsoft
KDC local pentru Kerberos este construit pe deasupra Managerului de cont de securitate al mașinii locale, astfel încât autentificarea de la distanță a conturilor de utilizator locale se poate face folosind Kerberos. Acest lucru folosește IAKerb pentru a permite Windows să transmită mesaje Kerberos între mașinile locale la distanță fără a fi nevoie să adăugați suport pentru alte servicii de întreprindere, cum ar fi DNS, netlogon sau DCLocator. De asemenea, IAKerb nu ne cere să deschidem porturi noi pe mașina de la distanță pentru a accepta mesajele Kerberos.
Microsoft
Gigantul tehnologic din Redmond este hotărât să limiteze utilizarea protocoalelor NTLM, iar compania are o soluție pentru aceasta. 
Pe lângă extinderea acoperirii scenariilor Kerberos, reparăm și instanțe hard-coded ale NTLM încorporate în componentele Windows existente. Mutăm aceste componente pentru a utiliza protocolul de negociere, astfel încât Kerberos să poată fi utilizat în loc de NTLM. Trecând la Negotiate, aceste servicii vor putea profita de IAKerb și LocalKDC atât pentru conturile locale, cât și pentru cele de domeniu.
Microsoft
Un alt punct important de luat în considerare este faptul că Microsoft îmbunătățește exclusiv gestionarea protocoalelor NTLM, cu scopul de a-l elimina în cele din urmă din Windows 11.
Reducerea utilizării NTLM va culmina în cele din urmă cu dezactivarea acestuia în Windows 11. Adoptăm o abordare bazată pe date și monitorizăm reducerile de utilizare a NTLM pentru a determina când va fi sigur de dezactivat.
Microsoft
Gigantul tehnologic din Redmond s-a pregătit un scurt ghid pentru companii și clienți despre cum să reducă utilizarea protocoalelor de autentificare NTLM.
