طريقتان جديدتان للمصادقة قادمتان إلى Windows 11.
تأتي شركة Microsoft بطرق مصادقة جديدة لنظام التشغيل Windows 11، وفقًا لشركة التكنولوجيا العملاقة التي يقع مقرها في ريدموند أحدث بلوق وظيفة. ستكون طرق المصادقة الجديدة أقل اعتمادًا بكثير على تقنيات NT LAN Manager (NTLM). وسوف تستخدم موثوقية ومرونة تقنيات Kerberos.
طريقتا المصادقة الجديدتان هما:
- المصادقة الأولية والتمريرية باستخدام Kerberos (IAKerb)
- مركز توزيع المفاتيح المحلي (KDC)
بالإضافة إلى ذلك، تعمل شركة التكنولوجيا العملاقة ومقرها ريدموند على تحسين وظائف تدقيق وإدارة NTLM، ولكن ليس بهدف الاستمرار في استخدامها. الهدف هو تحسينه بما يكفي لمنح المؤسسات القدرة على التحكم فيه بشكل أفضل، وبالتالي إزالته.
نحن نقدم أيضًا وظيفة محسنة لتدقيق وإدارة NTLM لمنح مؤسستك رؤية أكثر حول استخدام NTLM والتحكم بشكل أفضل في إزالته. هدفنا النهائي هو التخلص من الحاجة إلى استخدام NTLM على الإطلاق للمساعدة في تحسين شريط الأمان للمصادقة لجميع مستخدمي Windows.
مايكروسوفت
طرق المصادقة الجديدة لنظام التشغيل Windows 11: كل التفاصيل
وفقًا لمايكروسوفت، سيتم استخدام IAKerb للسماح للعملاء بالمصادقة مع Kerberos في طبولوجيا الشبكة الأكثر تنوعًا. من ناحية أخرى، تضيف KDC دعم Kerberos إلى الحسابات المحلية.
يشرح عملاق التكنولوجيا ومقره ريدموند بالتفصيل كيفية عمل طريقتي المصادقة الجديدتين على نظام التشغيل Windows 11، كما يمكنك أن تقرأ أدناه.
IAKerb هو امتداد عام لبروتوكول Kerberos القياسي في الصناعة والذي يسمح للعميل الذي ليس لديه خط رؤية لوحدة تحكم المجال بالمصادقة من خلال خادم لديه خط رؤية. يعمل هذا من خلال ملحق مصادقة التفاوض ويسمح لمكدس مصادقة Windows بتوكيل رسائل Kerberos من خلال الخادم نيابة عن العميل. يعتمد IAKerb على ضمانات أمان التشفير الخاصة بـ Kerberos لحماية الرسائل أثناء النقل عبر الخادم لمنع هجمات إعادة التشغيل أو الترحيل. يعد هذا النوع من الوكيل مفيدًا في بيئات جدار الحماية المجزأة أو سيناريوهات الوصول عن بعد.
مايكروسوفت
تم إنشاء مركز التوزيع الرئيسي (KDC) المحلي لـ Kerberos أعلى مدير حساب الأمان الخاص بالجهاز المحلي بحيث يمكن إجراء المصادقة عن بعد لحسابات المستخدمين المحليين باستخدام Kerberos. يعمل هذا على الاستفادة من IAKerb للسماح لنظام Windows بتمرير رسائل Kerberos بين الأجهزة المحلية البعيدة دون الحاجة إلى إضافة دعم لخدمات المؤسسة الأخرى مثل DNS أو netlogon أو DCLocator. لا يتطلب منا IAKerb أيضًا فتح منافذ جديدة على الجهاز البعيد لقبول رسائل Kerberos.
مايكروسوفت
إن عملاق التكنولوجيا ومقره ريدموند عازم على الحد من استخدام بروتوكولات NTLM والشركة لديها حل لذلك. 
بالإضافة إلى توسيع تغطية سيناريو Kerberos، نقوم أيضًا بإصلاح مثيلات NTLM المضمنة في مكونات Windows الموجودة. نحن نقوم بتحويل هذه المكونات لاستخدام بروتوكول التفاوض بحيث يمكن استخدام Kerberos بدلاً من NTLM. بالانتقال إلى Negotiate، ستتمكن هذه الخدمات من الاستفادة من IAKerb وLocalKDC لكل من الحسابات المحلية وحسابات المجال.
مايكروسوفت
هناك نقطة أخرى مهمة يجب مراعاتها وهي حقيقة أن Microsoft تعمل فقط على تحسين إدارة بروتوكولات NTLM، بهدف إزالتها في النهاية من Windows 11.
سيؤدي تقليل استخدام NTLM في النهاية إلى تعطيله في نظام التشغيل Windows 11. نحن نتبع نهجًا يعتمد على البيانات ونراقب التخفيضات في استخدام NTLM لتحديد متى سيكون التعطيل آمنًا.
مايكروسوفت
أعدت شركة التكنولوجيا العملاقة ومقرها ريدموند دليل قصير للشركات والعملاء حول كيفية تقليل استخدام بروتوكولات مصادقة NTLM.
