微軟計(jì)劃2024年下半年在Windows 11中淘汰NTLM，全面轉(zhuǎn)向Kerberos認(rèn)證

【ITBEAR科技資訊】5月24日消息，微軟安全官方博客最近宣布，為了回應(yīng)安全社區(qū)的呼吁，公司計(jì)劃在2024年下半年發(fā)布的Windows 11中逐步淘汰NT LAN Manager(NTLM)。

據(jù)ITBEAR科技資訊了解，微軟此前已經(jīng)有過(guò)類似的動(dòng)作。去年10月12日，微軟在一份官方新聞稿中就已經(jīng)提出了一個(gè)過(guò)渡計(jì)劃，旨在逐步淘汰NTLM身份驗(yàn)證方式，并推動(dòng)更多企業(yè)和用戶轉(zhuǎn)向使用Kerberos。為了幫助那些可能在關(guān)閉NTLM身份驗(yàn)證后遇到硬連線(hardwired)應(yīng)用程序和服務(wù)問(wèn)題的企業(yè)，微軟提供了IAKerb和KDC(密鑰分發(fā)中心)兩個(gè)身份驗(yàn)證功能。

為了實(shí)現(xiàn)從NTLM到Kerberos的平穩(wěn)過(guò)渡，微軟已經(jīng)開(kāi)展了兩個(gè)重要工作。微軟擴(kuò)展了Kerberos的應(yīng)用范圍。在Windows 11系統(tǒng)中，微軟為Kerberos新增了IAKerb和本地KDC功能，這使得Kerberos能夠在多樣化的網(wǎng)絡(luò)環(huán)境和本地賬戶環(huán)境中進(jìn)行身份驗(yàn)證。

其次，微軟修復(fù)了現(xiàn)有Windows組件中內(nèi)置的NTLM硬編碼部分。這些部分現(xiàn)在改用Negotiate協(xié)議，以便能夠使用Kerberos替代NTLM。通過(guò)遷移到Negotiate協(xié)議，這些組件將能夠支持本地和域賬戶通過(guò)IAKerb和LocalKDC進(jìn)行驗(yàn)證。

NTLM是微軟的一個(gè)專用協(xié)議，它使用挑戰(zhàn)/響應(yīng)模型對(duì)用戶和計(jì)算機(jī)進(jìn)行認(rèn)證，而Kerberos則是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，它通過(guò)密鑰系統(tǒng)為客戶機(jī)/服務(wù)器應(yīng)用程序提供認(rèn)證服務(wù)，不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，更為安全可靠。微軟的這一舉措無(wú)疑將進(jìn)一步提升Windows系統(tǒng)的安全性。