Win 11系统之家
为了增强安全性和可靠性,Microsoft宣布为 Windows 11 采用两种新的身份验证方法。这些方法将减少当前对NTLM(NT LAN Manager)技术的依赖,同时加强对更可靠和灵活的Kerberos技术的依赖。具体来说,这两种新方法称为使用 Kerberos (IAKerb) 和本地密钥分发中心 (KDC) 的初始和直通身份验证。
Kerberos 协议是一种确保用户和服务可以通过互联网相互证明身份的方法,而无需发送其密码或机密。Kerberos 协议使用称为密钥分发中心 (KDC) 的受信任第三方来帮助用户和服务交换包含有关其身份和权限的加密信息的票证。门票在有限的时间内有效,只能由预定方解密。
该协议还使用时间戳和会话密钥来防止重放攻击和窃听。Kerberos 协议基于对称密钥加密,这意味着双方共享相同的密钥来加密和解密消息。但是,Kerberos 协议也可以使用公钥加密,这意味着每一方都有一对密钥:一个公钥和一个私钥。公钥可以与任何人共享,但私钥是保密的。加密可用于安全地交换会话密钥或在没有密码的情况下对用户进行身份验证。
了解新的身份验证方法
IAKerb 身份验证方法使不同网络拓扑中的客户端能够使用 Kerberos 进行身份验证。它是 Kerberos 协议的公共扩展,允许没有域控制器视线的客户端通过具有视线的服务器进行身份验证。它使用协商身份验证的扩展,并允许 Windows 身份验证堆栈代表客户端通过服务器代理 Kerberos 消息。它依靠 Kerberos 的加密安全保证来屏蔽传输中的消息,从而防止重放或中继攻击。
相反,本地 KDC 方法将 Kerberos 支持授予本地帐户。它是在本地计算机的安全帐户管理器的基础上构建的,因此允许使用 Kerberos 对本地用户帐户进行远程身份验证。它利用IAKerb系统使Windows能够在远程本地计算机之间中继Kerberos消息,而无需扩展对其他企业服务(如DNS,netlogon或DCLocator)的支持。
NTLM 和新兴协议的未来
在此期间,Microsoft正在努力增强 NTLM 的审核和管理功能,尽管最终目标是完全淘汰它。减少NTLM的使用是为了最终在Windows 11中禁用它。此举是为了提高所有 Windows 用户的身份验证安全标准。Microsoft 还在将嵌入到当前 Windows 组件中的 NTLM 硬编码实例转移到使用协商协议方面取得了长足的进步,从而可以使用 Kerberos 而不是 NTLM。
迁移到协商将允许这些服务在本地和域帐户中利用IAKerb和LocalKDC。在宏伟的计划中,Microsoft的使命是采取一种数据知情的方法,仔细检查NTLM使用量的任何减少,以谨慎地确定禁用它的正确时间。
