微軟計劃2024年下半年在Windows 11中淘汰NTLM，全面轉(zhuǎn)向Kerberos認(rèn)證

【ITBEAR科技資訊】5月24日消息，微軟安全官方博客最近宣布，為了回應(yīng)安全社區(qū)的呼吁，公司計劃在2024年下半年發(fā)布的Windows 11中逐步淘汰NT LAN Manager(NTLM)。

據(jù)ITBEAR科技資訊了解，微軟此前已經(jīng)有過類似的動作。去年10月12日，微軟在一份官方新聞稿中就已經(jīng)提出了一個過渡計劃，旨在逐步淘汰NTLM身份驗證方式，并推動更多企業(yè)和用戶轉(zhuǎn)向使用Kerberos。為了幫助那些可能在關(guān)閉NTLM身份驗證后遇到硬連線(hardwired)應(yīng)用程序和服務(wù)問題的企業(yè)，微軟提供了IAKerb和KDC(密鑰分發(fā)中心)兩個身份驗證功能。

為了實現(xiàn)從NTLM到Kerberos的平穩(wěn)過渡，微軟已經(jīng)開展了兩個重要工作。微軟擴(kuò)展了Kerberos的應(yīng)用范圍。在Windows 11系統(tǒng)中，微軟為Kerberos新增了IAKerb和本地KDC功能，這使得Kerberos能夠在多樣化的網(wǎng)絡(luò)環(huán)境和本地賬戶環(huán)境中進(jìn)行身份驗證。

其次，微軟修復(fù)了現(xiàn)有Windows組件中內(nèi)置的NTLM硬編碼部分。這些部分現(xiàn)在改用Negotiate協(xié)議，以便能夠使用Kerberos替代NTLM。通過遷移到Negotiate協(xié)議，這些組件將能夠支持本地和域賬戶通過IAKerb和LocalKDC進(jìn)行驗證。

NTLM是微軟的一個專用協(xié)議，它使用挑戰(zhàn)/響應(yīng)模型對用戶和計算機(jī)進(jìn)行認(rèn)證，而Kerberos則是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，它通過密鑰系統(tǒng)為客戶機(jī)/服務(wù)器應(yīng)用程序提供認(rèn)證服務(wù)，不依賴于主機(jī)操作系統(tǒng)的認(rèn)證，更為安全可靠。微軟的這一舉措無疑將進(jìn)一步提升Windows系統(tǒng)的安全性。