早在去年 10 月,微软就表示希望最终禁用 NTLM 身份验证。该公司在其官方网站上更新了已废弃的 Windows 功能列表,其中新增了 NTLM 或新技术 LAN 管理器。其中包括所有版本的 NTLM,包括 LANMAN、NTLMv1 和 NTLMv2。
不过,与此同时,这家科技巨头还补充说,它将继续致力于"Windows Server 的下一个版本和 Windows 的下一个年度版本",这意味着 NTLM 身份验证将在 Windows 11 的 2024 更新版本 24H2 和 Windows Server 2025 上运行。微软目前正在确保这两个操作系统的系统要求相互兼容。
该公司写道:
包括 LANMAN、NTLMv1 和 NTLMv2 在内的所有 NTLM 版本均已停止功能开发,并已被废弃。但 NTLM 的使用将在下一个 Windows Server 版本和下一个 Windows 年度版本中继续有效。
对 NTLM 的调用应由对"协商"的调用取代,"协商"将尝试使用 Kerberos 进行身份验证,只有在必要时才返回 NTLM。
早些时候,微软曾解释说,此举背后的原因是为了提高身份验证的安全性,因为 Kerberos 等更现代的协议在这方面更胜一筹。该公司现在建议使用"协商"协议,这样只有在 Kerberos 不可用时才会退回到 NTLM。
在许多情况下,应用程序只需在向 SSPI 发出的AcquireCredentialsHandle请求中做一行更改,就能用 Negotiate 替代 NTLM。一个已知的例外情况是,应用程序对完成身份验证所需的最大往返次数做了硬性假设。在大多数情况下,"协商"至少会增加一次额外的往返。某些情况可能需要额外配置。
对于那些想知道 NTLM 历史有多悠久的人来说,这项技术自 1993 年在 Windows NT 3.1 中加入时就已经存在了。Kerberos 虽然更"现代",但也从 Windows 2000 Service Pack 4 (SP4) 开始使用,也算得上历史悠久了。