微軟宣布停止開發(fā)并廢棄NTLM協(xié)議,但在Win11 24H2和Server 2025中仍保留使用

微軟宣布停止開發(fā)并廢棄NTLM協(xié)議,但在Win11 24H2和Server 2025中仍保留使用

微軟在近日更新的官方支持文檔中宣布,將停止對包括LANMAN、NTLMv1和NTLMv2在內(nèi)的所有NTLM版本的開發(fā),并正式將該身份認證協(xié)議視為廢棄。這一決定標志著微軟在提升系統(tǒng)安全性方面邁出了重要一步,同時也為企業(yè)和用戶提供了足夠的過渡時間。

NTLM(NT LAN Manager)是一個微軟專用的認證協(xié)議,基于挑戰(zhàn)/響應模型來驗證用戶和計算機的身份。然而,由于該協(xié)議存在一些已知的安全漏洞,微軟一直在推動使用更安全的Kerberos認證協(xié)議進行替代。

根據(jù)微軟的計劃,盡管NTLM協(xié)議已被廢棄,但在Windows 11 24H2和Windows Server 2025等未來版本中,用戶仍可以繼續(xù)使用NTLM進行身份驗證。不過,微軟強調(diào),在調(diào)用NTLM時,系統(tǒng)將優(yōu)先使用Negotiate協(xié)議,而Negotiate會優(yōu)先使用Kerberos進行身份驗證,只有在必要時才會調(diào)用NTLM。

為了實現(xiàn)這一目標,微軟進行了兩項重要工作。首先,微軟擴展了Kerberos的應用場景。在Windows 11系統(tǒng)中,微軟為Kerberos引入了IAKerb和本地KDC(密鑰分配中心),使得Kerberos能夠在多樣化的網(wǎng)絡拓撲環(huán)境和本地賬戶環(huán)境中進行身份驗證。其次,微軟修復了現(xiàn)有Windows組件中內(nèi)置的NTLM硬編碼組件,將這些組件轉(zhuǎn)而使用Negotiate協(xié)議,以便在需要時可以使用Kerberos代替NTLM。

這一舉措將使得Windows系統(tǒng)能夠更好地支持本地和域賬戶使用IAKerb和LocalKDC進行驗證,從而提高系統(tǒng)的安全性和可靠性。

微軟表示,他們將繼續(xù)關(guān)注安全社區(qū)的反饋和需求,并不斷優(yōu)化和改進系統(tǒng)的安全性。隨著技術(shù)的不斷發(fā)展,微軟相信未來將會有更多的安全協(xié)議和技術(shù)被引入到Windows系統(tǒng)中,為用戶提供更加安全、穩(wěn)定的使用環(huán)境。

值得注意的是,雖然NTLM協(xié)議在Windows系統(tǒng)中已被廢棄,但在一些老舊的應用程序和系統(tǒng)中可能仍然需要使用該協(xié)議進行身份驗證。對于這些情況,微軟建議用戶盡快更新和替換這些老舊的應用程序和系統(tǒng),以確保系統(tǒng)的安全性和穩(wěn)定性。

原創(chuàng)文章,作者:NEWS,如若轉(zhuǎn)載,請注明出處:http://rponds.cn/article/659024.html

NEWS的頭像NEWS認證作者

相關(guān)推薦

發(fā)表回復

登錄后才能評論