微軟希望最終在 Windows 11 中停用 NTLM 驗證

微軟希望最終在 Windows 11 中停用 NTLM 驗證

20 多年來,Windows 的各個版本都使用 Kerberos 作為其主要身份驗證協定。但是,在某些情況下,作業系統必須使用另一種方​​法,NTLM(NT LAN Manager)。今天,微軟宣布正在擴大 Kerberos 的使用,並計劃最終完全放棄 NTLM 的使用。

微軟在一篇部落格文章中表示,NTLM 繼續被一些企業和組織用於 Windows 身份驗證,因為它「不需要與網域控制站的本機網路連接」。它也是「使用本機帳戶時唯一支援的協定」它“在你不知道目標伺服器是誰時起作用”

微軟表示:

這些好處導致一些應用程式和服務硬編碼 NTLM 的使用,而不是嘗試使用其他更現代的身份驗證協定(如 Kerberos)。Kerberos 提供了更好的安全保證,並且比 NTLM 更具可擴展性,這就是為什麼它現在成為 Windows 中首選預設協定的原因。

問題是,雖然企業可以關閉 NTLM 進行身份驗證,但那些硬連線的應用程式和服務可能會遇到問題。這就是 Microsoft 為 Kerberos 添加兩個新的身份驗證功能的原因。

一種是使用 Kerberos (IAKerb) 進行初始和直通身份驗證,這將允許「沒有網域控制站視線的用戶端透過具有視線的伺服器進行身份驗證。」另一個是本機金鑰Kerberos 的分發中心(KDC) ,增加了對本機帳戶的身份驗證支援。

正在進行這些更改,以便從長遠來看,Kerberos 將成為唯一的 Windows 驗證協定。微軟表示:

減少 NTLM 的使用最終將導致它在 Windows 11 中被停用。我們正在採用資料驅動的方法並監控 NTLM 使用的減少情況,以確定何時可以安全地停用它。

一旦做出決定,微軟將首先預設禁用 NTLM,但企業可以重新啟用它,以防遇到相容性問題。微軟尚未公佈這一切何時發生的具體時間表。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *