2 nya autentiseringsmetoder kommer till Windows 11.
Microsoft kommer med nya autentiseringsmetoder för Windows 11, enligt den Redmond-baserade teknikjättens senaste blogginlägget. De nya autentiseringsmetoderna kommer att vara mycket mindre beroende på NT LAN Manager-tekniker (NTLM). och kommer att använda tillförlitligheten och flexibiliteten hos Kerberos-teknologier.
De två nya autentiseringsmetoderna är:
- Initial- och pass-through-autentisering med Kerberos (IAKerb)
- lokalt nyckeldistributionscenter (KDC)
Dessutom förbättrar den Redmond-baserade teknikjätten NTLMs revisions- och hanteringsfunktionalitet, men inte med målet att fortsätta använda den. Målet är att förbättra det tillräckligt för att ge organisationer möjligheten att kontrollera det bättre och på så sätt ta bort det.
Vi introducerar också förbättrad NTLM-revision och hanteringsfunktion för att ge din organisation mer insikt i din NTLM-användning och bättre kontroll för att ta bort den. Vårt slutmål är att eliminera behovet av att överhuvudtaget använda NTLM för att förbättra säkerhetsfältet för autentisering för alla Windows-användare.
Microsoft
Windows 11 nya autentiseringsmetoder: Alla detaljer
Enligt Microsoft kommer IAKerb att användas för att låta klienter autentisera med Kerberos i mer olika nätverkstopologier. Å andra sidan lägger KDC till Kerberos-stöd till lokala konton.
Den Redmond-baserade teknikjätten förklarar i detalj hur de 2 nya autentiseringsmetoderna fungerar på Windows 11, som du kan läsa nedan.
IAKerb är ett offentligt tillägg till industristandarden Kerberos-protokoll som tillåter en klient utan siktlinje till en domänkontrollant att autentisera via en server som har siktlinje. Detta fungerar genom autentiseringstillägget Negotiate och låter Windows-autentiseringsstacken proxy Kerberos-meddelanden via servern på uppdrag av klienten. IAKerb förlitar sig på Kerberos kryptografiska säkerhetsgarantier för att skydda meddelanden som skickas genom servern för att förhindra uppspelning eller reläattacker. Den här typen av proxy är användbar i segmenterade brandväggsmiljöer eller scenarier för fjärråtkomst.
Microsoft
Den lokala KDC för Kerberos är byggd ovanpå den lokala maskinens säkerhetskontohanterare så fjärrautentisering av lokala användarkonton kan göras med Kerberos. Detta utnyttjar IAKerb för att tillåta Windows att skicka Kerberos-meddelanden mellan lokala fjärrdatorer utan att behöva lägga till stöd för andra företagstjänster som DNS, netlogon eller DCLocator. IAKerb kräver inte heller att vi öppnar nya portar på fjärrmaskinen för att acceptera Kerberos-meddelanden.
Microsoft
Den Redmond-baserade teknikjätten är inställd på att begränsa användningen av NTLM-protokoll och företaget har en lösning för det. 
Förutom att utöka Kerberos-scenariotäckningen, fixar vi även hårdkodade instanser av NTLM inbyggt i befintliga Windows-komponenter. Vi flyttar dessa komponenter till att använda Negotiate-protokollet så att Kerberos kan användas istället för NTLM. Genom att flytta till Negotiate kommer dessa tjänster att kunna dra fördel av IAKerb och LocalKDC för både lokala konton och domänkonton.
Microsoft
En annan viktig punkt att tänka på är det faktum att Microsoft enbart förbättrar hanteringen av NTLM-protokoll, med målet att i slutändan ta bort det från Windows 11.
Att minska användningen av NTLM kommer i slutändan att kulminera i att det inaktiveras i Windows 11. Vi använder ett datadrivet tillvägagångssätt och övervakar minskningar av NTLM-användning för att avgöra när det kommer att vara säkert att inaktivera.
Microsoft
Den Redmond-baserade teknikjätten förberedde sig en kort guide för företag och kunder om hur man kan minska användningen av NTLM-autentiseringsprotokoll.
