微软宣布从Windows 11 24H2和Windows Server 2025开始移除NTLMv1,未来版本将不再支持。此举旨在推动企业和用户过渡到更安全的Kerberos认证。微软为此扩展了Kerberos的应用,引入IAKerb和本地KDC,使其能在多样网络环境和本地账户中应用。同时,修复了Windows组件中硬编码的NTLM,转向Negotiate协议,以支持Kerberos。NTLM是微软专有协议,基于挑战/响应模型认证用户,但安全性较低。微软正逐步淘汰NTLM,转向更现代的身份验证方式。
🛡️ 微软计划在Windows 11 24H2和Windows Server 2025中移除NTLMv1,未来版本将不再提供该功能,标志着NTLM协议的逐步淘汰。
🔑 为了实现淘汰NTLM的目标,微软扩展了Kerberos的应用场景,在Windows 11中引入了IAKerb和本地KDC,使得Kerberos可以在多样化的网络拓扑环境和本地账户环境中进行身份验证。
🛠️ 微软修复了现有Windows组件中内置的NTLM硬编码组件,并将其转换为使用Negotiate协议,从而可以使用Kerberos代替NTLM进行验证,提升了系统的安全性。
🔄 NTLM是一个基于挑战/响应模型的微软专用协议,用于认证用户和计算机,但存在安全隐患,微软正在积极推动用户迁移到更安全的Kerberos协议。
IT之家 12 月 14 日消息,微软公司更新支持文档,宣布从 Windows 11 24H2 和 Windows Server 2025 开始,移除 NTLMv1,未来的 Windows 客户端和服务器版本中不再提供该功能。
IT之家曾于 2023 年 10 月报道,微软宣布新一轮过渡计划,弃用 NTLM 身份认证方式,让更多企业和用户过渡使用 Kerberos。
据悉微软为实现这一目标主要进行了两项重要工作:
一方面是扩展 Kerberos 的应用场景。在 Windows 11 系统中,为 Kerberos 引入了 IAKerb 和本地 KDC,分别实现了在多样化的网络拓扑环境和本地账户环境中使用 Kerberos 进行身份验证。
另一方面修复了现有 Windows 组件中内置的 NTLM 硬编码组件。将这些组件转而使用 Negotiate 协议,以便可以使用 Kerberos 代替 NTLM。通过迁移到 Negotiate 协议,这些组件服务将能够支持本地和域账户使用 IAKerb 和 LocalKDC 验证。
IT之家注:NTLM 是一个微软专用协议,它基于挑战 / 响应模型认证用户和计算机,使用挑战 / 响应模型来证实客户端的身份,而不需要在网络上发送口令或散列的口令,是所有 Windows NT 系列产品都使用的认证方式。
相关阅读:
