Do systému Windows 11 prichádzajú 2 nové metódy overovania.
Microsoft prichádza s novými metódami overovania pre Windows 11, podľa technologického giganta so sídlom v Redmonde najnovší blogový príspevok. Nové metódy autentifikácie budú oveľa menej závislé na technológiách NT LAN Manager (NTLM). a využije spoľahlivosť a flexibilitu technológií Kerberos.
Dve nové metódy autentifikácie sú:
- Počiatočné overenie a overenie pomocou protokolu Kerberos (IAKerb)
- miestne centrum distribúcie kľúčov (KDC)
Technologický gigant so sídlom v Redmonde navyše zlepšuje funkčnosť auditu a správy NTLM, ale nie s cieľom pokračovať v jej používaní. Cieľom je vylepšiť ho natoľko, aby ho organizácie mohli lepšie kontrolovať, a tak ho odstrániť.
Zavádzame tiež vylepšené funkcie auditovania a správy NTLM, aby vaša organizácia mala lepší prehľad o používaní NTLM a lepšiu kontrolu pri jeho odstraňovaní. Naším konečným cieľom je eliminovať potrebu používať NTLM vôbec, aby sme pomohli zlepšiť bezpečnostnú lištu autentifikácie pre všetkých používateľov systému Windows.
Microsoft
Nové metódy overovania systému Windows 11: Všetky podrobnosti
Podľa Microsoftu bude IAKerb slúžiť na to, aby umožnil klientom autentifikáciu pomocou Kerberos v rozmanitejších sieťových topológiách. Na druhej strane KDC pridáva podporu Kerberos do lokálnych účtov.
Technologický gigant so sídlom v Redmonde podrobne vysvetľuje, ako fungujú 2 nové metódy overovania v systéme Windows 11, ako si môžete prečítať nižšie.
IAKerb je verejné rozšírenie priemyselného štandardného protokolu Kerberos, ktoré umožňuje klientovi bez priamej viditeľnosti na radič domény autentifikovať sa prostredníctvom servera, ktorý má priamu viditeľnosť. Funguje to prostredníctvom rozšírenia overovania Negotiate a umožňuje zásobníkom overovania systému Windows proxy správy Kerberos cez server v mene klienta. IAKerb sa spolieha na záruky kryptografického zabezpečenia Kerberos na ochranu správ pri prenose cez server, aby sa zabránilo opakovaným alebo prenosovým útokom. Tento typ proxy je užitočný v segmentoch firewallu alebo scenároch vzdialeného prístupu.
Microsoft
Lokálne KDC pre Kerberos je postavené na Správcovi bezpečnostných účtov lokálneho počítača, takže vzdialenú autentifikáciu lokálnych používateľských účtov je možné vykonať pomocou Kerberos. To využíva IAKerb, ktorý umožňuje systému Windows odovzdávať správy Kerberos medzi vzdialenými lokálnymi počítačmi bez toho, aby bolo potrebné pridať podporu pre ďalšie podnikové služby, ako je DNS, netlogon alebo DCLocator. IAKerb tiež nevyžaduje, aby sme na vzdialenom počítači otvárali nové porty na prijímanie správ Kerberos.
Microsoft
Technologický gigant so sídlom v Redmonde sa snaží obmedziť používanie protokolov NTLM a spoločnosť má pre to riešenie. 
Okrem rozšírenia pokrytia scenárov Kerberos opravujeme aj pevne zakódované inštancie NTLM zabudované do existujúcich komponentov Windows. Tieto komponenty presúvame na používanie protokolu Negotiate, aby bolo možné namiesto NTLM použiť Kerberos. Prechodom na Negotiate budú tieto služby môcť využívať výhody IAKerb a LocalKDC pre lokálne aj doménové účty.
Microsoft
Ďalším dôležitým bodom, ktorý je potrebné vziať do úvahy, je skutočnosť, že spoločnosť Microsoft vylepšuje výlučne správu protokolov NTLM s cieľom definitívne ho odstrániť zo systému Windows 11.
Zníženie používania NTLM nakoniec vyvrcholí jeho zakázaním v systéme Windows 11. Používame prístup založený na údajoch a monitorujeme zníženie používania NTLM, aby sme určili, kedy bude bezpečné ho zakázať.
Microsoft
Technologický gigant so sídlom v Redmonde sa pripravil krátky návod pre spoločnosti a zákazníkov o tom, ako znížiť používanie autentifikačných protokolov NTLM.
