微軟希望最終在 Windows 11 中停用 NTLM 驗證

20 多年來，Windows 的各個版本都使用 Kerberos 作為其主要身份驗證協定。但是，在某些情況下，作業系統必須使用另一種方​​法，NTLM（NT LAN Manager）。今天，微軟宣布正在擴大 Kerberos 的使用，並計劃最終完全放棄 NTLM 的使用。

微軟在一篇部落格文章中表示，NTLM 繼續被一些企業和組織用於 Windows 身份驗證，因為它「不需要與網域控制站的本機網路連接」。它也是「使用本機帳戶時唯一支援的協定」它“在你不知道目標伺服器是誰時起作用”

微軟表示：

這些好處導致一些應用程式和服務硬編碼 NTLM 的使用，而不是嘗試使用其他更現代的身份驗證協定（如 Kerberos）。Kerberos 提供了更好的安全保證，並且比 NTLM 更具可擴展性，這就是為什麼它現在成為 Windows 中首選預設協定的原因。

問題是，雖然企業可以關閉 NTLM 進行身份驗證，但那些硬連線的應用程式和服務可能會遇到問題。這就是 Microsoft 為 Kerberos 添加兩個新的身份驗證功能的原因。

一種是使用 Kerberos (IAKerb) 進行初始和直通身份驗證，這將允許「沒有網域控制站視線的用戶端透過具有視線的伺服器進行身份驗證。」另一個是本機金鑰Kerberos 的分發中心(KDC) ，增加了對本機帳戶的身份驗證支援。

正在進行這些更改，以便從長遠來看，Kerberos 將成為唯一的 Windows 驗證協定。微軟表示：

減少 NTLM 的使用最終將導致它在 Windows 11 中被停用。我們正在採用資料驅動的方法並監控 NTLM 使用的減少情況，以確定何時可以安全地停用它。

一旦做出決定，微軟將首先預設禁用 NTLM，但企業可以重新啟用它，以防遇到相容性問題。微軟尚未公佈這一切何時發生的具體時間表。