У Windows 11 з’являться 2 нові методи автентифікації.
Microsoft пропонує нові методи автентифікації для Windows 11, повідомляє технічний гігант із Редмонда. остання публікація в блозі. Нові методи автентифікації будуть набагато менш залежними на технологіях NT LAN Manager (NTLM). і використовуватиме надійність і гнучкість технологій Kerberos.
2 нові методи автентифікації:
- Початкова та наскрізна автентифікація за допомогою Kerberos (IAKerb)
- місцевий центр розподілу ключів (KDC)
Крім того, технічний гігант із Редмонда покращує функціональність аудиту та керування NTLM, але не з метою продовження його використання. Мета полягає в тому, щоб покращити його настільки, щоб дати організаціям можливість краще контролювати його, таким чином усунувши його.
Ми також представляємо вдосконалені функції аудиту та керування NTLM, щоб надати вашій організації більше інформації про використання NTLM і краще контролювати його видалення. Наша кінцева мета — усунути потребу у використанні NTLM взагалі, щоб допомогти покращити панель безпеки автентифікації для всіх користувачів Windows.
Microsoft
Нові методи автентифікації Windows 11: усі подробиці
За словами Microsoft, IAKerb буде використовуватися, щоб дозволити клієнтам автентифікуватися за допомогою Kerberos у більш різноманітних топологіях мережі. З іншого боку, KDC додає підтримку Kerberos до локальних облікових записів.
Технічний гігант із Редмонда детально пояснює, як працюють 2 нові методи автентифікації в Windows 11, як ви можете прочитати нижче.
IAKerb — це загальнодоступне розширення промислового стандартного протоколу Kerberos, яке дозволяє клієнту без прямої видимості контролера домену автентифікуватись через сервер, який має пряму видимість. Це працює через розширення автентифікації Negotiate і дозволяє стеку автентифікації Windows проксі-сервер повідомлень Kerberos через сервер від імені клієнта. IAKerb покладається на криптографічні гарантії безпеки Kerberos для захисту повідомлень, що передаються через сервер, щоб запобігти повторним або релейним атакам. Цей тип проксі корисний у сегментованих середовищах брандмауера або сценаріях віддаленого доступу.
Microsoft
Локальний KDC для Kerberos побудований на основі диспетчера облікових записів безпеки локального комп’ютера, тому віддалена автентифікація локальних облікових записів користувачів може здійснюватися за допомогою Kerberos. Це використовує IAKerb, щоб дозволити Windows передавати повідомлення Kerberos між віддаленими локальними машинами без необхідності додавати підтримку інших корпоративних служб, таких як DNS, netlogon або DCLocator. IAKerb також не вимагає від нас відкривати нові порти на віддаленій машині для прийому повідомлень Kerberos.
Microsoft
Технічний гігант із Редмонда прагне обмежити використання протоколів NTLM, і компанія має для цього рішення. 
Окрім розширення сценарію Kerberos, ми також виправляємо жорстко закодовані екземпляри NTLM, вбудовані в існуючі компоненти Windows. Ми переводимо ці компоненти на використання протоколу Negotiate, щоб можна було використовувати Kerberos замість NTLM. Перейшовши на Negotiate, ці служби зможуть використовувати переваги IAKerb і LocalKDC як для локальних, так і для доменних облікових записів.
Microsoft
Ще один важливий момент, на який слід звернути увагу, — це той факт, що Microsoft лише покращує керування протоколами NTLM з метою остаточного видалення його з Windows 11.
Зменшення використання NTLM зрештою призведе до його вимкнення в Windows 11. Ми використовуємо підхід, керований даними, і відстежуємо зменшення використання NTLM, щоб визначити, коли його буде безпечно вимкнути.
Microsoft
Технічний гігант із Редмонда підготувався короткий посібник для компаній і клієнтів про те, як зменшити використання протоколів автентифікації NTLM.
