微軟停止開發(fā)并廢棄 NTLM 協(xié)議，Win11 24H2 和 Server 2025 仍保留使用

IT之家 6 月 5 日消息，微軟于 6 月 3 日更新官方支持文檔，宣布停止開發(fā)包括 LANMAN、NTLMv1 和 NTLMv2 在內的所有 NTLM 版本，并已經完全廢棄該身份認證協(xié)議。

IT之家去年 10 月報道，微軟宣布新一輪過渡計劃，棄用 NTLM 身份認證方式，讓更多企業(yè)和用戶過渡使用 Kerberos。

微軟安全官方博客今年 5 月再次發(fā)布博文，為了響應安全社區(qū)的強烈要求，計劃在 2024 年下半年的 Windows 11 中棄用 NT LAN Manager（NTLM）。

而在最新支持文檔中，微軟明確下個 Windows 年度更新、下個 Windows Server 更新中，用戶可以繼續(xù)使用 NTLM 協(xié)議，但后續(xù)調用 NTLM 會替代調用 Negotiate，而 Negotiate 會優(yōu)先使用 Kerberos 進行身份驗證，只有在必要時才調用 NTLM。

據(jù)悉微軟為實現(xiàn)這一目標主要進行了兩項重要工作：

• 一方面是擴展 Kerberos 的應用場景。在 Windows 11 系統(tǒng)中，為 Kerberos 引入了 IAKerb 和本地 KDC，分別實現(xiàn)了在多樣化的網絡拓撲環(huán)境和本地賬戶環(huán)境中使用 Kerberos 進行身份驗證。

• 另一方面修復了現(xiàn)有 Windows 組件中內置的 NTLM 硬編碼組件。將這些組件轉而使用 Negotiate 協(xié)議，以便可以使用 Kerberos 代替 NTLM。通過遷移到 Negotiate 協(xié)議，這些組件服務將能夠支持本地和域賬戶使用 IAKerb 和 LocalKDC 驗證。

IT之家注：NTLM 是一個微軟專用協(xié)議，它基于挑戰(zhàn) / 響應模型認證用戶和計算機，使用挑戰(zhàn) / 響應模型來證實客戶端的身份，而不需要在網絡上發(fā)送口令或散列的口令，是所有 Windows NT 系列產品都使用的認證方式。

相關閱讀：

《微軟計劃在 Win11 中禁用 NTLM 身份驗證協(xié)議》

《微軟計劃下半年在 Win11 中棄用 NTLM 身份驗證協(xié)議》

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。