В Windows 11 появятся два новых метода аутентификации.
По данным технологического гиганта из Редмонда, Microsoft предлагает новые методы аутентификации для Windows 11. последняя запись в блоге. Новые методы аутентификации будут гораздо менее зависимы на технологиях NT LAN Manager (NTLM) и будет использовать надежность и гибкость технологий Kerberos.
Два новых метода аутентификации:
- Начальная и сквозная аутентификация с использованием Kerberos (IAKerb)
- местный центр распространения ключей (KDC)
Кроме того, технологический гигант из Редмонда совершенствует функции аудита и управления NTLM, но не с целью продолжать их использовать. Цель состоит в том, чтобы улучшить его настолько, чтобы дать организациям возможность лучше его контролировать, тем самым устранив его.
Мы также представляем улучшенные функции аудита и управления NTLM, чтобы дать вашей организации более полное представление об использовании NTLM и лучший контроль над его удалением. Наша конечная цель — вообще исключить необходимость использования NTLM, чтобы улучшить уровень безопасности аутентификации для всех пользователей Windows.
Майкрософт
Новые методы аутентификации Windows 11: все подробности
По данным Microsoft, IAKerb будет использоваться, чтобы позволить клиентам аутентифицироваться с помощью Kerberos в более разнообразных сетевых топологиях. С другой стороны, KDC добавляет поддержку Kerberos для локальных учетных записей.
Технический гигант из Редмонда подробно объясняет, как два новых метода аутентификации работают в Windows 11, как вы можете прочитать ниже.
IAKerb — это общедоступное расширение стандартного протокола Kerberos, которое позволяет клиенту, не имеющему прямой видимости с контроллером домена, проходить аутентификацию через сервер, у которого есть прямая видимость. Это работает через расширение проверки подлинности Negotiate и позволяет стеку проверки подлинности Windows проксировать сообщения Kerberos через сервер от имени клиента. IAKerb полагается на гарантии криптографической безопасности Kerberos для защиты сообщений, проходящих через сервер, и предотвращения атак повторного воспроизведения или ретрансляции. Этот тип прокси-сервера полезен в средах, сегментированных брандмауэром, или в сценариях удаленного доступа.
Майкрософт
Локальный KDC для Kerberos построен поверх диспетчера учетных записей безопасности локального компьютера, поэтому удаленную аутентификацию локальных учетных записей пользователей можно выполнять с помощью Kerberos. При этом используется IAKerb, позволяющий Windows передавать сообщения Kerberos между удаленными локальными компьютерами без необходимости добавлять поддержку других корпоративных служб, таких как DNS, netlogon или DCLocator. IAKerb также не требует от нас открытия новых портов на удаленном компьютере для приема сообщений Kerberos.
Майкрософт
Технический гигант из Редмонда стремится ограничить использование протоколов NTLM, и у компании есть решение для этой проблемы. 
Помимо расширения охвата сценариев Kerberos, мы также исправляем жестко закодированные экземпляры NTLM, встроенные в существующие компоненты Windows. Мы переводим эти компоненты на использование протокола Negotiate, чтобы можно было использовать Kerberos вместо NTLM. Перейдя на Negotiate, эти службы смогут использовать преимущества IAKerb и LocalKDC как для локальных, так и для доменных учетных записей.
Майкрософт
Еще одним важным моментом, который следует учитывать, является тот факт, что Microsoft совершенствует исключительно управление протоколами NTLM с целью в конечном итоге удалить его из Windows 11.
Сокращение использования NTLM в конечном итоге приведет к его отключению в Windows 11. Мы применяем подход, основанный на данных, и отслеживаем сокращение использования NTLM, чтобы определить, когда его можно будет безопасно отключить.
Майкрософт
Технический гигант из Редмонда подготовился краткое руководство для компаний и клиентов о том, как сократить использование протоколов аутентификации NTLM.
