วิธีการรับรองความถูกต้องแบบใหม่กำลังจะมาใน Windows 11

วิธีการตรวจสอบสิทธิ์ใหม่ 2 วิธีกำลังจะมาใน Windows 11

Microsoft กำลังมาพร้อมกับวิธีการรับรองความถูกต้องใหม่สำหรับ Windows 11 ตามรายงานของยักษ์ใหญ่ด้านเทคโนโลยีจาก Redmond โพสต์บล็อกล่าสุด. วิธีการรับรองความถูกต้องใหม่จะขึ้นอยู่กับน้อยลงมาก เกี่ยวกับเทคโนโลยี NT LAN Manager (NTLM) และจะใช้ความน่าเชื่อถือและความยืดหยุ่นของเทคโนโลยี Kerberos

วิธีการรับรองความถูกต้องใหม่ 2 วิธีคือ:

• การรับรองความถูกต้องเริ่มต้นและแบบพาสทรูโดยใช้ Kerberos (IAKerb)
• ศูนย์กระจายคีย์ท้องถิ่น (KDC)

นอกจากนี้ บริษัทเทคโนโลยียักษ์ใหญ่จาก Redmond กำลังปรับปรุงฟังก์ชันการตรวจสอบและการจัดการ NTLM แต่ไม่ใช่เป้าหมายที่จะใช้งานต่อไป เป้าหมายคือการปรับปรุงให้เพียงพอเพื่อให้องค์กรต่างๆ สามารถควบคุมได้ดีขึ้น ดังนั้นจึงต้องกำจัดมันทิ้งไป

นอกจากนี้เรายังแนะนำฟังก์ชันการตรวจสอบและการจัดการ NTLM ที่ได้รับการปรับปรุงเพื่อให้องค์กรของคุณเข้าใจการใช้งาน NTLM ของคุณมากขึ้น และควบคุมการลบออกได้ดียิ่งขึ้น เป้าหมายสุดท้ายของเราคือขจัดความจำเป็นในการใช้ NTLM เลย เพื่อช่วยปรับปรุงแถบความปลอดภัยของการตรวจสอบสิทธิ์สำหรับผู้ใช้ Windows ทุกคน

ไมโครซอฟต์

วิธีการรับรองความถูกต้องใหม่ของ Windows 11: รายละเอียดทั้งหมด

ตามข้อมูลของ Microsoft IAKerb จะถูกใช้เพื่ออนุญาตให้ไคลเอนต์ตรวจสอบสิทธิ์กับ Kerberos ในโทโพโลยีเครือข่ายที่หลากหลายมากขึ้น ในทางกลับกัน KDC เพิ่มการสนับสนุน Kerberos ให้กับบัญชีท้องถิ่น

ยักษ์ใหญ่ด้านเทคโนโลยีจาก Redmond อธิบายรายละเอียดว่าวิธีการตรวจสอบสิทธิ์ใหม่ 2 วิธีทำงานบน Windows 11 ได้อย่างไร ดังที่คุณสามารถอ่านได้ด้านล่าง

IAKerb เป็นส่วนขยายสาธารณะสำหรับโปรโตคอล Kerberos มาตรฐานอุตสาหกรรมที่ช่วยให้ไคลเอนต์ที่ไม่มีแนวสายตาไปยังตัวควบคุมโดเมนสามารถตรวจสอบสิทธิ์ผ่านเซิร์ฟเวอร์ที่มีแนวสายตา ซึ่งทำงานผ่านส่วนขยายการรับรองความถูกต้อง Negotiate และอนุญาตให้สแต็กการรับรองความถูกต้องของ Windows ไปยังข้อความพร็อกซี Kerberos ผ่านเซิร์ฟเวอร์ในนามของไคลเอ็นต์ IAKerb อาศัยการรับประกันความปลอดภัยของการเข้ารหัสของ Kerberos เพื่อปกป้องข้อความที่อยู่ระหว่างการส่งผ่านเซิร์ฟเวอร์ เพื่อป้องกันการเล่นซ้ำหรือการโจมตีแบบส่งต่อ พร็อกซีประเภทนี้มีประโยชน์ในสภาพแวดล้อมแบบแบ่งส่วนไฟร์วอลล์หรือสถานการณ์การเข้าถึงระยะไกล

ไมโครซอฟต์

KDC ในเครื่องสำหรับ Kerberos สร้างขึ้นจาก Security Account Manager ของเครื่องในเครื่อง ดังนั้นการตรวจสอบบัญชีผู้ใช้ในเครื่องจากระยะไกลสามารถทำได้โดยใช้ Kerberos สิ่งนี้ใช้ประโยชน์จาก IAKerb เพื่ออนุญาตให้ Windows ส่งข้อความ Kerberos ระหว่างเครื่องระยะไกลโดยไม่ต้องเพิ่มการรองรับสำหรับบริการองค์กรอื่น ๆ เช่น DNS, netlogon หรือ DCLocator นอกจากนี้ IAKerb ยังไม่ต้องการให้เราเปิดพอร์ตใหม่บนเครื่องระยะไกลเพื่อยอมรับข้อความ Kerberos

ไมโครซอฟต์

บริษัทยักษ์ใหญ่ด้านเทคโนโลยีจาก Redmond มุ่งมั่นที่จะจำกัดการใช้โปรโตคอล NTLM และบริษัทก็มีวิธีแก้ปัญหาสำหรับเรื่องนี้

นอกเหนือจากการขยายความครอบคลุมสถานการณ์ Kerberos แล้ว เรายังแก้ไขอินสแตนซ์ NTLM แบบฮาร์ดโค้ดที่สร้างไว้ในส่วนประกอบ Windows ที่มีอยู่ด้วย เรากำลังเปลี่ยนส่วนประกอบเหล่านี้ไปใช้โปรโตคอล Negotiate เพื่อให้ Kerberos สามารถใช้แทน NTLM ได้ เมื่อย้ายไปยัง Negotiate บริการเหล่านี้จะสามารถใช้ประโยชน์จาก IAKerb และ LocalKDC สำหรับทั้งบัญชีท้องถิ่นและโดเมน

ไมโครซอฟต์

ประเด็นสำคัญอีกประการที่ควรพิจารณาคือข้อเท็จจริงที่ว่า Microsoft ปรับปรุงการจัดการโปรโตคอล NTLM แต่เพียงผู้เดียว โดยมีเป้าหมายที่จะลบออกจาก Windows 11 ในท้ายที่สุด

การลดการใช้ NTLM จะทำให้ระบบถูกปิดใช้งานใน Windows 11 ในที่สุด เรากำลังใช้แนวทางที่ขับเคลื่อนด้วยข้อมูลและติดตามการลดการใช้ NTLM เพื่อพิจารณาว่าเมื่อใดจึงจะปิดใช้งานได้อย่างปลอดภัย

ไมโครซอฟต์

ยักษ์ใหญ่ด้านเทคโนโลยีจากเรดมอนด์เตรียมพร้อม คำแนะนำสั้น ๆ สำหรับบริษัทและลูกค้าเกี่ยวกับวิธีลดการใช้โปรโตคอลการตรวจสอบความถูกต้องของ NTLM