Windows 11'e 2 yeni kimlik doğrulama yöntemi geliyor.
Redmond merkezli teknoloji devinin açıklamasına göre Microsoft, Windows 11 için yeni kimlik doğrulama yöntemleriyle geliyor son blog yazısı. Yeni kimlik doğrulama yöntemleri çok daha az bağımlı olacak NT LAN Manager (NTLM) teknolojileri hakkında Kerberos teknolojilerinin güvenilirliğini ve esnekliğini kullanacak.
2 yeni kimlik doğrulama yöntemi şunlardır:
- Kerberos (IAKerb) Kullanarak İlk ve Doğrudan Kimlik Doğrulaması
- yerel Anahtar Dağıtım Merkezi (KDC)
Ayrıca Redmond merkezli teknoloji devi, NTLM denetim ve yönetim işlevselliğini geliştiriyor, ancak bunu kullanmaya devam etme hedefiyle değil. Hedef, kuruluşlara onu daha iyi kontrol etme yeteneği verecek kadar geliştirmek, böylece onu ortadan kaldırmaktır.
Ayrıca kuruluşunuza NTLM kullanımınız hakkında daha fazla bilgi vermek ve NTLM'yi kaldırmak için daha iyi kontrol sağlamak amacıyla gelişmiş NTLM denetim ve yönetim işlevselliğini de sunuyoruz. Nihai hedefimiz, tüm Windows kullanıcıları için kimlik doğrulamanın güvenlik çubuğunu geliştirmeye yardımcı olmak amacıyla NTLM kullanma ihtiyacını tamamen ortadan kaldırmaktır.
Microsoft
Windows 11'in yeni kimlik doğrulama yöntemleri: Tüm ayrıntılar
Microsoft'a göre IAKerb, istemcilerin daha çeşitli ağ topolojilerinde Kerberos ile kimlik doğrulaması yapmasına olanak sağlamak için kullanılacak. Öte yandan KDC, yerel hesaplara Kerberos desteğini ekliyor.
Redmond merkezli teknoloji devi, aşağıda okuyabileceğiniz üzere 2 yeni kimlik doğrulama yönteminin Windows 11'de nasıl çalıştığını detaylı bir şekilde açıklıyor.
IAKerb, bir Etki Alanı Denetleyicisinin görüş hattı olmayan bir istemcinin, görüş hattı olan bir sunucu aracılığıyla kimlik doğrulaması yapmasına olanak tanıyan, endüstri standardı Kerberos protokolünün genel bir uzantısıdır. Bu, Anlaşmalı kimlik doğrulama uzantısı aracılığıyla çalışır ve Windows kimlik doğrulama yığınının, Kerberos mesajlarını istemci adına sunucu aracılığıyla proxy olarak göndermesine olanak tanır. IAKerb, tekrar oynatma veya aktarma saldırılarını önlemek amacıyla sunucu üzerinden aktarılan mesajları korumak için Kerberos'un kriptografik güvenlik garantilerine güvenir. Bu tür proxy, güvenlik duvarı bölümlü ortamlarda veya uzaktan erişim senaryolarında kullanışlıdır.
Microsoft
Kerberos için yerel KDC, yerel makinenin Güvenlik Hesabı Yöneticisi üzerine kurulu olduğundan, yerel kullanıcı hesaplarının uzaktan kimlik doğrulaması Kerberos kullanılarak yapılabilir. Bu, Windows'un uzak yerel makineler arasında Kerberos mesajlarını DNS, netlogon veya DCLocator gibi diğer kurumsal hizmetler için destek eklemeye gerek kalmadan iletmesine izin vermek için IAKerb'den yararlanır. IAKerb ayrıca Kerberos mesajlarını kabul etmek için uzak makinede yeni portlar açmamızı da gerektirmez.
Microsoft
Redmond merkezli teknoloji devi, NTLM protokollerinin kullanımını sınırlama konusunda kararlı ve şirketin bunun için bir çözümü var. 
Kerberos senaryosunun kapsamını genişletmenin yanı sıra, mevcut Windows bileşenlerine yerleşik sabit kodlu NTLM örneklerini de düzeltiyoruz. NTLM yerine Kerberos'un kullanılabilmesi için bu bileşenleri Negotiate protokolünü kullanacak şekilde değiştiriyoruz. Negotiate'e geçildiğinde bu hizmetler hem yerel hem de etki alanı hesapları için IAKerb ve LocalKDC'den yararlanabilecek.
Microsoft
Göz önünde bulundurulması gereken bir diğer önemli nokta, Microsoft'un yalnızca NTLM protokollerinin yönetimini geliştirmesi ve sonuçta onu Windows 11'den kaldırma hedefiyle olmasıdır.
NTLM kullanımının azaltılması, sonuçta Windows 11'de devre dışı bırakılmasıyla sonuçlanacaktır. Veri odaklı bir yaklaşım benimsiyoruz ve ne zaman devre dışı bırakmanın güvenli olacağını belirlemek için NTLM kullanımındaki azalmaları izliyoruz.
Microsoft
Redmond merkezli teknoloji devi hazırlandı kısa bir rehber şirketler ve müşteriler için NTLM kimlik doğrulama protokollerinin kullanımının nasıl azaltılacağı konusunda.
