【ITBEAR科技資訊】5月24日消息,微軟安全官方博客最近宣布,為了回應(yīng)安全社區(qū)的呼吁,公司計劃在2024年下半年發(fā)布的Windows 11中逐步淘汰NT LAN Manager(NTLM)。
據(jù)ITBEAR科技資訊了解,微軟此前已經(jīng)有過類似的動作。去年10月12日,微軟在一份官方新聞稿中就已經(jīng)提出了一個過渡計劃,旨在逐步淘汰NTLM身份驗證方式,并推動更多企業(yè)和用戶轉(zhuǎn)向使用Kerberos。為了幫助那些可能在關(guān)閉NTLM身份驗證后遇到硬連線(hardwired)應(yīng)用程序和服務(wù)問題的企業(yè),微軟提供了IAKerb和KDC(密鑰分發(fā)中心)兩個身份驗證功能。
為了實現(xiàn)從NTLM到Kerberos的平穩(wěn)過渡,微軟已經(jīng)開展了兩個重要工作。微軟擴(kuò)展了Kerberos的應(yīng)用范圍。在Windows 11系統(tǒng)中,微軟為Kerberos新增了IAKerb和本地KDC功能,這使得Kerberos能夠在多樣化的網(wǎng)絡(luò)環(huán)境和本地賬戶環(huán)境中進(jìn)行身份驗證。
其次,微軟修復(fù)了現(xiàn)有Windows組件中內(nèi)置的NTLM硬編碼部分。這些部分現(xiàn)在改用Negotiate協(xié)議,以便能夠使用Kerberos替代NTLM。通過遷移到Negotiate協(xié)議,這些組件將能夠支持本地和域賬戶通過IAKerb和LocalKDC進(jìn)行驗證。
NTLM是微軟的一個專用協(xié)議,它使用挑戰(zhàn)/響應(yīng)模型對用戶和計算機(jī)進(jìn)行認(rèn)證,而Kerberos則是一種網(wǎng)絡(luò)認(rèn)證協(xié)議,它通過密鑰系統(tǒng)為客戶機(jī)/服務(wù)器應(yīng)用程序提供認(rèn)證服務(wù),不依賴于主機(jī)操作系統(tǒng)的認(rèn)證,更為安全可靠。微軟的這一舉措無疑將進(jìn)一步提升Windows系統(tǒng)的安全性。