V Windows 11 prihajajo nove metode preverjanja pristnosti

V Windows 11 prihajata 2 nova načina preverjanja pristnosti.

Microsoft prihaja z novimi metodami preverjanja pristnosti za Windows 11, glede na tehnološki velikan iz Redmonda najnovejša objava v blogu. Nove metode avtentikacije bodo veliko manj odvisne na tehnologijah NT LAN Manager (NTLM). in bo uporabljal zanesljivost in prilagodljivost tehnologij Kerberos.

Dva nova načina preverjanja pristnosti sta:

• Začetna in prehodna avtentikacija z uporabo Kerberos (IAKerb)
• lokalni center za distribucijo ključev (KDC)

Poleg tega tehnološki velikan s sedežem v Redmondu izboljšuje funkcijo revizije in upravljanja NTLM, vendar ne s ciljem, da bi jo še naprej uporabljal. Cilj je, da bi ga toliko izboljšali, da bi ga organizacije lahko bolje nadzorovale in tako odstranile.

Predstavljamo tudi izboljšano funkcijo nadzora in upravljanja NTLM, da bi vaši organizaciji omogočili boljši vpogled v vašo uporabo NTLM in boljši nadzor za njegovo odstranitev. Naš končni cilj je odpraviti potrebo po uporabi NTLM, da bi izboljšali varnostno vrstico preverjanja pristnosti za vse uporabnike sistema Windows.

Microsoft

Nove metode preverjanja pristnosti sistema Windows 11: vse podrobnosti

Po mnenju Microsofta bo IAKerb uporabljen za omogočanje odjemalcem avtentikacije s Kerberosom v bolj raznolikih omrežnih topologijah. Po drugi strani pa KDC lokalnim računom doda podporo za Kerberos.

Tehnološki velikan s sedežem v Redmondu podrobno pojasnjuje, kako 2 nova načina preverjanja pristnosti delujeta v sistemu Windows 11, kot lahko preberete spodaj.

IAKerb je javna razširitev industrijskega standardnega protokola Kerberos, ki odjemalcu brez vidnega polja do krmilnika domene omogoča avtentikacijo prek strežnika, ki ima vidni polje. To deluje prek razširitve za preverjanje pristnosti Negotiate in omogoča, da sklad za preverjanje pristnosti Windows posreduje sporočila Kerberos prek strežnika v imenu odjemalca. IAKerb se zanaša na kriptografska varnostna jamstva Kerberos za zaščito sporočil v tranzitu skozi strežnik, da prepreči napade ponavljanja ali posredovanja. Ta vrsta proxyja je uporabna v okoljih, segmentiranih s požarnim zidom, ali scenarijih oddaljenega dostopa.

Microsoft

Lokalni KDC za Kerberos je zgrajen na vrhu upravitelja varnostnih računov lokalnega računalnika, tako da je oddaljeno preverjanje pristnosti lokalnih uporabniških računov mogoče izvesti s Kerberosom. To izkorišča IAKerb, da Windowsu omogoči posredovanje sporočil Kerberos med oddaljenimi lokalnimi stroji, ne da bi bilo treba dodati podporo za druge storitve podjetja, kot so DNS, netlogon ali DCLocator. IAKerb prav tako ne zahteva, da odpremo nova vrata na oddaljenem računalniku za sprejem sporočil Kerberos.

Microsoft

Tehnološki velikan s sedežem v Redmondu si prizadeva omejiti uporabo protokolov NTLM in podjetje ima za to rešitev.

Poleg razširitve pokritosti scenarija Kerberos popravljamo tudi trdo kodirane primerke NTLM, vgrajene v obstoječe komponente sistema Windows. Te komponente prestavljamo na uporabo protokola Negotiate, tako da se lahko namesto NTLM uporablja Kerberos. S prehodom na Negotiate bodo te storitve lahko izkoristile IAKerb in LocalKDC za lokalne in domenske račune.

Microsoft

Druga pomembna točka, ki jo je treba upoštevati, je dejstvo, da Microsoft izključno izboljšuje upravljanje protokolov NTLM, s ciljem, da ga na koncu odstrani iz sistema Windows 11.

Zmanjšanje uporabe NTLM bo na koncu privedlo do tega, da bo v sistemu Windows 11 onemogočen. Uporabljamo pristop, ki temelji na podatkih, in spremljamo zmanjšanje uporabe NTLM, da ugotovimo, kdaj ga bo varno onemogočiti.

Microsoft

Tehnološki velikan iz Redmonda je pripravil kratek vodič za podjetja in stranke o tem, kako zmanjšati uporabo protokolov za preverjanje pristnosti NTLM.