微软计划下半年在 Win11 中弃用 NTLM 身份验证协议

 5 月 23 日消息，根据微软安全官方博客消息，为了响应安全社区的强烈要求，计划在 2024 年下半年的 Windows 11 中弃用 NT LAN Manager（NTLM）。

据先前的消息，微软去年 10 月 12 日的官方新闻稿就提出，新一轮过渡计划，弃用 NTLM 身份认证方式，让更多企业和用户过渡使用 Kerberos 并且为关闭 NTLM 身份认证，但硬连线（hardwired）的应用程序和服务可能出现问题的企业，提供了包括 IAKerb 和 KDC 两个身份验证功能。

据悉微软为实现这一目标主要进行了两项重要工作：

• 一方面是扩展 Kerberos 的应用场景。在 Windows 11 系统中，为 Kerberos 引入了 IAKerb 和本地 KDC，分别实现了在多样化的网络拓扑环境和本地账户环境中使用 Kerberos 进行身份验证。

• 另一方面修复了现有 Windows 组件中内置的 NTLM 硬编码组件。将这些组件转而使用 Negotiate 协议，以便可以使用 Kerberos 代替 NTLM。通过迁移到 Negotiate 协议，这些组件服务将能够支持本地和域账户使用 IAKerb 和 LocalKDC 验证。

注：NTLM 是一个微软专用协议，它基于挑战 / 响应模型认证用户和计算机，使用挑战 / 响应模型来证实客户端的身份，而不需要在网络上发送口令或散列的口令，是所有 Windows NT 系列产品都使用的认证方式。

Kerberos 是一种通过密钥系统为客户机 / 服务器应用程序提供认证服务的网络认证协议。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，是通过传统的密码技术（如：共享密钥）执行认证服务的。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，所有文章均包含本声明。

投诉水文 我要纠错

总结

以上是生活随笔为你收集整理的微软计划下半年在 Win11 中弃用 NTLM 身份验证协议的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。