微软在近日更新的官方支持文档中宣布,将停止对包括LANMAN、NTLMv1和NTLMv2在内的所有NTLM版本的开发,并正式将该身份认证协议视为废弃。这一决定标志着微软在提升系统安全性方面迈出了重要一步,同时也为企业和用户提供了足够的过渡时间。
NTLM(NT LAN Manager)是一个微软专用的认证协议,基于挑战/响应模型来验证用户和计算机的身份。然而,由于该协议存在一些已知的安全漏洞,微软一直在推动使用更安全的Kerberos认证协议进行替代。
根据微软的计划,尽管NTLM协议已被废弃,但在Windows 11 24H2和Windows Server 2025等未来版本中,用户仍可以继续使用NTLM进行身份验证。不过,微软强调,在调用NTLM时,系统将优先使用Negotiate协议,而Negotiate会优先使用Kerberos进行身份验证,只有在必要时才会调用NTLM。
为了实现这一目标,微软进行了两项重要工作。首先,微软扩展了Kerberos的应用场景。在Windows 11系统中,微软为Kerberos引入了IAKerb和本地KDC(密钥分配中心),使得Kerberos能够在多样化的网络拓扑环境和本地账户环境中进行身份验证。其次,微软修复了现有Windows组件中内置的NTLM硬编码组件,将这些组件转而使用Negotiate协议,以便在需要时可以使用Kerberos代替NTLM。
这一举措将使得Windows系统能够更好地支持本地和域账户使用IAKerb和LocalKDC进行验证,从而提高系统的安全性和可靠性。
微软表示,他们将继续关注安全社区的反馈和需求,并不断优化和改进系统的安全性。随着技术的不断发展,微软相信未来将会有更多的安全协议和技术被引入到Windows系统中,为用户提供更加安全、稳定的使用环境。
值得注意的是,虽然NTLM协议在Windows系统中已被废弃,但在一些老旧的应用程序和系统中可能仍然需要使用该协议进行身份验证。对于这些情况,微软建议用户尽快更新和替换这些老旧的应用程序和系统,以确保系统的安全性和稳定性。