Uudet virat

Windows 11 poistaa NTLM-todennuksen Kerberosin hyväksi

  • Microsoft alkaa poistaa käytöstä Kerberosin NTLM-todennusmekanismia.
  • Yritys tekee tämän päivittämällä Kerberosin kahdella uudella ominaisuudella, mukaan lukien IAKErb ja KDC.
  • Päätös on tehty Windows 11:n turvallisuuden parantamiseksi.

Osana jatkuvaa pyrkimystä parantaa Windows 11:n turvallisuutta Microsoft sanoo aikovansa poistaa käytöstä New Technology LAN Manager (NTLM) -todennusprotokollan ja ottaa Kerberosin käyttöön käyttöjärjestelmään.

Yhtiön mukaanKerberos-todennusprotokolla on ollut olemassa useita vuosia ja toimii hyvin, mutta ei kaikissa skenaarioissa, minkä vuoksi NTLM on edelleen käytössä, koska se ei vaadi yhteyttä paikalliseen toimialueen ohjaimeen (DC), se toimii paikallisilla tileillä eikä vaadi kohdepalvelimen identiteettiä.

Tämän nykyisen asennuksen ongelmana on, että NTLM ei ole yhtä turvallinen kuin Kerberosja monet kehittäjät ja organisaatiot koodaavat vähemmän turvallisen todennusmenetelmän sovelluksiinsa ja palveluihinsa.

Rajoituksista ja tietoturvariskeistä johtuen Microsoft tekee parhaillaan joitain parannuksia tehdäkseen Kerberosista houkuttelevamman ja poistaakseen sen käytöstä. NTLM Windows 11:ssä.

Ensimmäinen parannus on IAKErb, uusi julkinen laajennus, jonka avulla laite, jolla ei ole näköyhteyttä DC:hen, voi todentaa näköyhteyspalvelimen kautta. Tämä ratkaisu käyttää Windowsin todennuspinoa Kerberos-pyyntöjen lähettämiseen ilman, että sovellus tarvitsee näköyhteyttä toimialueen ohjaimeen. Lisäksi IAKErb tarjoaa salauksen ja kuljetuksen aikana tapahtuvan suojauksen estämään toisto- tai uudelleenlähetyshyökkäykset, mikä tekee siitä sopivan etätodennukseen.

Toinen parannus on Key Distribution Centerin (KDC) käyttöönotto Secure Account Managerin (SAM) päällä tukemaan paikallista tilin todennusta Kerberosin kautta. Tämä ominaisuus käyttää IAKErbiä sallimaan Windowsin välittää Kerberos-viestejä paikallisten etätietokoneiden välillä lisäämättä tukea muille yrityspalveluille, kuten DNS, netlogon tai DCLocator, tai avaamatta uutta porttia.

Kuten IAKErb, KDC käyttää Advanced Encryption Standard (AES) -salausta parantaakseen todennusmekanismin turvallisuutta.

Lisäksi yritys selitti myös, että se työskentelee käyttöjärjestelmän olemassa olevien komponenttien kanssa, jotka käyttävät kovakoodattua NTLM-toteutusta, jotta ne käyttävät Negotiate-protokollaa hyödyntääkseen IAKErb- ja KDC-toimintoja Kerberosille.

Yhtiö sanoi myös, että nämä muutokset toteutetaan automaattisesti ilman konfigurointia (useimmissa skenaarioissa) ja että protokollaa tuetaan myös lähitulevaisuudessa varamekanismina. Yritys päivittää myös NTLM-hallintaohjausta, jotta organisaatiot voivat valvoa ja hallita protokollaa.

#Windows #poistaa #NTLMtodennuksen #Kerberosin #hyväksi

How much onions deserves this post?

Click a onion to throw it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

Terms and Conditions - Privacy Policy