微软希望最终在Windows 11中禁用 NTLM 身份验证

2023年10月16日 15:28 次阅读 稿源:cnBeta.COM 条评论

20 多年来,各种版本的 Windows 一直使用 Kerberos 作为其主要身份验证协议。 但是,在某些情况下,操作系统必须使用另一种方法,NTLM(NT LAN Manager)。 今天,微软宣布正在扩大 Kerberos 的使用,并计划最终完全放弃 NTLM 的使用。

server-during-ntlm-authentication.png

微软在一篇博客文章中表示,一些企业和组织继续使用 NTLM 进行 Windows 身份验证,因为它“不需要与域控制器的本地网络连接”。 它也是“使用本地帐户时唯一支持的协议”,并且“当您不知道目标服务器是谁时可以使用”

微软表示:

这些好处导致一些应用程序和服务硬编码 NTLM 的使用,而不是尝试使用其他更现代的身份验证协议(如 Kerberos)。 Kerberos 提供了更好的安全保证,并且比 NTLM 更具可扩展性,这就是它现在成为 Windows 中首选默认协议的原因。

问题是,虽然企业可以关闭 NTLM 进行身份验证,但那些硬连线的应用程序和服务可能会遇到问题。 这也是微软向 Kerberos 添加两个新的身份验证功能的原因。

一种是使用 Kerberos (IAKerb) 进行初始和直通身份验证,这将允许“没有域控制器视线的客户端通过有视线的服务器进行身份验证”。 另一个是 Kerberos 的本地密钥分发中心 (KDC),它增加了对本地帐户的身份验证支持。

正在进行这些更改,以便从长远来看,Kerberos 将成为唯一的 Windows 身份验证协议。 微软表示:

减少 NTLM 的使用最终将导致它在 Windows 11 中被禁用。我们正在采用数据驱动的方法并监控 NTLM 使用的减少情况,以确定何时可以安全地禁用它。

一旦做出决定,微软将首先默认禁用 NTLM,但企业可以重新启用它,以防遇到兼容性问题。 微软尚未公布这一切何时发生的具体时间表。

对文章打分

微软希望最终在Windows 11中禁用 NTLM 身份验证

1 (50%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan