微软确认NTLM身份验证方式在Windows 11 24H2和Server 2025之后将失效

2024年06月04日 17:01 次阅读 稿源:cnBeta.COM 条评论

早在去年 10 月,微软就表示希望最终禁用 NTLM 身份验证。该公司在其官方网站上更新了已废弃的 Windows 功能列表,其中新增了 NTLM 或新技术 LAN 管理器。其中包括所有版本的 NTLM,包括 LANMAN、NTLMv1 和 NTLMv2。

1706910379_windows_11_24h2_story.jpg

不过,与此同时,这家科技巨头还补充说,它将继续致力于"Windows Server 的下一个版本和 Windows 的下一个年度版本",这意味着 NTLM 身份验证将在 Windows 11 的 2024 更新版本 24H2 和 Windows Server 2025 上运行。微软目前正在确保这两个操作系统的系统要求相互兼容。

该公司写道

包括 LANMAN、NTLMv1 和 NTLMv2 在内的所有 NTLM 版本均已停止功能开发,并已被废弃。但 NTLM 的使用将在下一个 Windows Server 版本和下一个 Windows 年度版本中继续有效。

对 NTLM 的调用应由对"协商"的调用取代,"协商"将尝试使用 Kerberos 进行身份验证,只有在必要时才返回 NTLM。

guide-ntlm-authentication2.png

早些时候,微软曾解释说,此举背后的原因是为了提高身份验证的安全性,因为 Kerberos 等更现代的协议在这方面更胜一筹。该公司现在建议使用"协商"协议,这样只有在 Kerberos 不可用时才会退回到 NTLM。

在许多情况下,应用程序只需在向 SSPI 发出的AcquireCredentialsHandle请求中做一行更改,就能用 Negotiate 替代 NTLM。一个已知的例外情况是,应用程序对完成身份验证所需的最大往返次数做了硬性假设。在大多数情况下,"协商"至少会增加一次额外的往返。某些情况可能需要额外配置。

对于那些想知道 NTLM 历史有多悠久的人来说,这项技术自 1993 年在 Windows NT 3.1 中加入时就已经存在了。Kerberos 虽然更"现代",但也从 Windows 2000 Service Pack 4 (SP4) 开始使用,也算得上历史悠久了。

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

微软确认NTLM身份验证方式在Windows 11 24H2和Server 2025之后将失效

1 (50%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan